CVE-2022-1040 Erkennung: DriftingCloud APT-Gruppe nutzt RCE-Schwachstelle in Sophos Firewall aus
Inhaltsverzeichnis:
Eine berüchtigte chinesische APT-Gruppe, bekannt unter dem Namen „DriftingCloud“, zielt auf die Cybersicherheitsfirma Sophos ab. Der Bedrohungsakteur wird nämlich verdächtigt, hinter der aktiven Ausnutzung eines Sicherheitslochs in der Sophos-Firewall zu stecken. Die Schwachstelle, die als CVE-2022-1040 verfolgt wird, hat einen Schweregrad von 9.8 und betrifft seit Anfang Frühjahr 2022 die Sophos-Firewall-Versionen 18.5 MR3 und älter. Die Schwachstelle, die im März dieses Jahres gepatcht wurde, setzt die Benutzer der Sophos-Firewall immer noch RCE-Angriffen aus.
Der Fehler betrifft das Benutzerportal und Webadmin der Sophos-Firewall und ist ein Authentifizierungs-Bypass, der zu einer Remote-Code-Ausführung führen könnte.
Gegner nutzen die Schwachstelle, um vorwiegend Geschäfte in Südasien anzugreifen.
Erkennen von CVE-2022-1040
Um Ausnutzungsversuche der kritischen Sophos-Firewall-RCE-Schwachstelle zu erkennen, verwenden Sie die folgende Sigma-Regel, die von einem Team begeisterter Bedrohungsjäger-Ingenieure von SOC Prime veröffentlicht wurde.
Experten im Bereich Cybersicherheit sind herzlich eingeladen, dem Threat Bounty Program beizutreten, um ihre SOC-Inhalte auf der branchenführenden Plattform für wiederkehrende monetäre Belohnungen zu teilen. Alle eingereichten Erkennungen werden von SOC Prime-Experten überprüft und verifiziert. Letzten Monat betrug die durchschnittliche Auszahlung an die Programmteilnehmer 1.429 US-Dollar.
Mögliche DriftingCloud-Bedrohungsgruppe Nachnutzungsaktivität (über Webserver)
Die Regel ist mit dem neuesten MITRE ATT&CK®-Rahmenwerk v.10. abgestimmt, das die Taktik des initialen Zugriffs mit der Technik Exploit Public-Facing Application (T1190) anspricht. Sicherheitsexperten können problemlos zwischen mehreren SIEM-, EDR- und XDR-Formaten wechseln, um den Quellcode der Regel für über 16 Sicherheitslösungen anzuwenden.
Registrierte Benutzer können durch Klicken auf den Detect & Hunt Button auf relevante Sigma-Regeln zugreifen, um CVE-2022-1040-Exploits zu erkennen. Nicht registrierte Sicherheitsprofis können mit dem Klicken auf den Explore Threat Context Button auf eine umfassende Bibliothek von SOC-Inhalten mit allen relevanten Kontexten zugreifen.
Detect & Hunt Explore Threat Context
CVE-2022-1040 Schwachstellenanalyse
Forscher von Volexity haben technische Details zu den Angriffen veröffentlicht, die CVE-2022-1040 ausnutzen. Laut dem Forschungsbericht sollen die heimlichen Exploits dazu dienen, weiter in cloud-gehostete Webserver einzudringen, die die öffentlich zugänglichen Websites des Ziels hosten.
Nach dem initialen Zugriff legen die Angreifer eine Webshell-Hintertür ab und etablieren eine sekundäre Form der Persistenz. Die Forscher haben offengelegt, dass die Angreifer die Firewall durchbrechen, um Man-in-the-Middle (MITM)-Angriffe zu starten. Die in MITM-Angriffen erlangten Informationen werden genutzt, um die Angriffsfläche zu erweitern und Systeme über das ursprüngliche Ziel hinaus zu kompromittieren.
Die Schwachstelle gilt als behoben, und im Moment erfordert die Minderung von CVE-2022-1040 keine Maßnahmen seitens des Benutzers. Der Anbieter versicherte, dass alle betroffenen Kunden mit der aktivierten automatischen Installation der Hotfixes-Funktion keine mit dem CVE-2022-1040-Fehler verbundenen Sicherheitsprobleme haben sollten.
Schauen Sie sich die SOC Prime-Bibliothek an – eine All-in-One-Lösung zur Meisterung von SIEM-Hard-Skills, zur Erweiterung des beruflichen Horizonts mit tiefgründigen Lehrvideos und zum Aufholen mit How-to-Guides für Bedrohungsjagd.
