Detección de CVE-2022-1040: Grupo APT DriftingCloud Explota Vulnerabilidad RCE en Cortafuegos de Sophos
Tabla de contenidos:
Un notorio grupo APT chino conocido bajo el apodo «DriftingCloud» apunta a la firma de ciberseguridad Sophos. Concretamente, se cree que el actor de amenaza está detrás de la explotación activa de una vulnerabilidad en el firewall de Sophos. La falla, identificada como CVE-2022-1040, tiene una puntuación de 9.8 en gravedad y ha estado afectando a las versiones del Firewall de Sophos 18.5 MR3 y anteriores desde principios de la primavera de 2022. La vulnerabilidad, aunque fue parcheada en marzo de este año, sigue exponiendo a los usuarios del Firewall de Sophos a ataques de RCE.
El bug afecta al Portal de Usuario y Webadmin del Firewall de Sophos y es una omisión de autenticación que podría resultar en una ejecución remota de código.
Los adversarios han armado la vulnerabilidad para apuntar predominantemente a empresas ubicadas en el sur de Asia.
Detectar CVE-2022-1040
Para detectar intentos de explotación de la vulnerabilidad crítica de RCE del Firewall de Sophos, use la siguiente regla Sigma liberada por un equipo de ingenieros cazadores de amenazas de SOC Prime.
Los expertos en ciberseguridad son más que bienvenidos a unirse al Programa de Recompensas por Amenazas para compartir su contenido SOC en la plataforma líder en la industria para recompensas monetarias recurrentes. Todas las detecciones enviadas son revisadas y verificadas por expertos de SOC Prime. El mes pasado, el pago promedio a los miembros del Programa fue de $1,429.
Posible Actividad Post-Explotación del Grupo de Amenaza DriftingCloud (a través del servidor web)
La regla está alineada con el último marco MITRE ATT&CK® v.10 abordando la táctica de Acceso Inicial con la técnica Exploit Public-Facing Application (T1190). Los practicantes de seguridad pueden cambiar fácilmente entre múltiples formatos de SIEM, EDR y XDR para obtener el código fuente de la regla aplicable a más de 16 soluciones de seguridad.
Los usuarios registrados pueden acceder a las reglas Sigma relevantes para detectar exploits de CVE-2022-1040 al presionar el botón Detectar y Cazar . Al hacer clic en el botón Explorar Contexto de Amenazas , los profesionales de seguridad no registrados pueden acceder a una biblioteca de contenido SOC que abarca todo el contexto relevante.
Detectar y Cazar Explorar Contexto de Amenazas
Análisis de Vulnerabilidad CVE-2022-1040
Investigadores de Volexity liberaron detalles técnicos sobre los ataques que explotan CVE-2022-1040. Según el informe de investigación, los exploits furtivos están diseñados para violar más los servidores web alojados en la nube que albergan los sitios web públicos del objetivo.
Tras el acceso inicial, los adversarios implementan un backdoor de webshell y establecen una forma secundaria de persistencia. Los investigadores revelaron que los adversarios violan el firewall para lanzar ataques de man-in-the-middle (MITM). La información recolectada en ataques MITM se utiliza para expandir la superficie de ataque, comprometiendo sistemas más allá del objetivo inicial.
Se considera que la vulnerabilidad está resuelta, y en este momento, la mitigación de CVE-2022-1040 no requiere ninguna acción por parte del usuario. El proveedor aseguró que todos los clientes afectados con la instalación automática de hotfixes habilitada no deberían enfrentar problemas de seguridad asociados con la falla CVE-2022-1040.
Visite la biblioteca de SOC Prime – una solución integral para dominar habilidades difíciles de SIEM, expandir su horizonte profesional con videos educativos profundos y ponerse al día con guías prácticas sobre caza de amenazas.
