Ein dringendes Sicherheitsupdate für Sophos XG Firewall wurde diesen Samstag veröffentlicht. Das Update behebt eine Zero-Day-SQL-Injection-Remote-Code-Execution-Schwachstelle, die aktiv in freier Wildbahn ausgenutzt wird. Es ermöglicht Cyberkriminellen, Sophos-Firewalls über deren Managementschnittstelle zu kompromittieren und Asnarok-Malware einzusetzen. Der Trojaner stiehlt die Lizenz und Seriennummer der Firewall, Benutzermails, den gesalzenen SHA256-Hash des Administrators und verschlüsselte Passwörter. Um Ihr Unternehmen vor der Bedrohung zu schützen, stellen Sie sicher, dass die automatische Installation von Hotfixes auf Ihrer Firewall aktiviert ist: https://community.sophos.com/kb/en-us/135415Unser SOC-Team hat eine Sigma-Regel basierend auf den in Sophos’ verfügbaren IOCs veröffentlicht Sicherheitsberatung. Sie können sie verwenden, um Spuren der Malware zu finden und festzustellen, ob Ihre XG Firewall kompromittiert wurde. Sie können Uncoder verwenden, um die Sigma-Regel in den Erkennungsinhalt für die von Ihnen verwendete Sicherheitsplattform zu konvertieren. Außerdem können Sie die Regel mit allen verfügbaren Übersetzungen im Threat Detection Marketplace überprüfen: https://tdm.socprime.com/tdm/info/RN0oGcnrZfoU/HYulvHEB1-hfOQirCe1I/#Link zu Uncoder: https://uncoder.io/Uncoder-Benutzerhandbuch ist hier: https://socprime.com/en/blog/uncoder-io-user-guide/Sigma:
| title: Sophos Firewall Asnarok Malware Kampagne (IOC) status: stabil description: Im April 2020 wurden Sophos-Firewalls von einem Akteur angegriffen, der einen 0-day SQLi-Exploit nutzte, um Sophos-Firewalls über ihre Managementoberfläche zu kompromittieren. Die ausgelieferte Malware wurde „asnarok“ genannt. references: – https://news.sophos.com/en-us/2020/04/26/asnarok/ author: SOC Prime Team logsource: category: any detection: keyword: – ‚736da16da96222d3dfbb864376cafd58239344b536c75841805c661f220072e5‘ – ‚a226c6a641291ef2916118b048d508554afe0966974c5ca241619e8a375b8c6b‘ – ‚4de3258ebba1ef3638642a011020a004b4cd4dbe8cd42613e24edf37e6cf9d71‘ – ‚9650563aa660ccbfd91c0efc2318cf98bfe9092b4a2abcd98c7fc44aad265fda‘ – ‚8e9965c2bb0964fde7c1aa0e8b5d74158e37443d857fc227c1883aa74858e985‘ – ’31e43ecd203860ba208c668a0e881a260ceb24cb1025262d42e03209aed77fe4′ – ‚/sp/sophos.dat‘ – ‚.post_MI‘ – ‚filedownloaderserverx.com‘ – ‚filedownloaderserver.com‘ – ‚updatefileservercross.com‘ – ‚43.229.55.44‘ – ‚38.27.99.69‘ – ’sophosfirewallupdate.com‘ – ‚filedownloaderservers.com‘ – ‚ragnarokfromasgard.com‘ – ’sophosenterprisecenter.com‘ – ’sophoswarehouse.com‘ – ’sophosproductupdate.com‘ – ’sophostraining.org‘ condition: keyword falsepositives: – diese Regel könnte durch IOC-Daten von Bedrohungsinformationsquellen ausgelöst werden level: kritisch |
