Este sábado se lanzó una actualización de seguridad de emergencia para Sophos XG Firewall. La actualización corrige una vulnerabilidad de ejecución remota de código mediante inyección SQL de día cero que se explota activamente en el entorno. Permite a los ciberdelincuentes comprometer los firewalls de Sophos a través de su interfaz de gestión y desplegar el malware Asnarok. El troyano roba la licencia y el número de serie del firewall, correos electrónicos de usuarios, hash SHA256 con sal del administrador y contraseñas encriptadas. Para proteger a su organización de esta amenaza, asegúrese de que la instalación automática de parches esté habilitada en su firewall: https://community.sophos.com/kb/en-us/135415Nuestro equipo de SOC lanzó una regla Sigma basada en los IOC disponibles en el aviso de seguridadde Sophos. Puede usarlo para encontrar rastros del malware y determinar si su XG Firewall estuvo comprometido. Puede usar Uncoder para convertir la regla Sigma al contenido de detección para la plataforma de seguridad que tiene. Además, puede verificar la regla con todas las traducciones disponibles en Threat Detection Marketplace: https://tdm.socprime.com/tdm/info/RN0oGcnrZfoU/HYulvHEB1-hfOQirCe1I/#Enlace a Uncoder: https://uncoder.io/La guía del usuario de Uncoder está aquí: https://socprime.com/en/blog/uncoder-io-user-guide/Sigma:
| title: Sophos Firewall Asnarok Malware Campaign (IOC) status: estable description: En abril de 2020, los firewalls de Sophos fueron objetivo de un actor que utilizó un exploit de SQLi de día cero para comprometer los firewalls de Sophos a través de su interfaz de gestión. El malware entregado ha sido denominado «asnarok». references: – https://news.sophos.com/en-us/2020/04/26/asnarok/ author: Equipo SOC Prime logsource: category: any detection: keyword: – ‘736da16da96222d3dfbb864376cafd58239344b536c75841805c661f220072e5’ – ‘a226c6a641291ef2916118b048d508554afe0966974c5ca241619e8a375b8c6b’ – ‘4de3258ebba1ef3638642a011020a004b4cd4dbe8cd42613e24edf37e6cf9d71’ – ‘9650563aa660ccbfd91c0efc2318cf98bfe9092b4a2abcd98c7fc44aad265fda’ – ‘8e9965c2bb0964fde7c1aa0e8b5d74158e37443d857fc227c1883aa74858e985’ – ’31e43ecd203860ba208c668a0e881a260ceb24cb1025262d42e03209aed77fe4′ – ‘/sp/sophos.dat’ – ‘.post_MI’ – ‘filedownloaderserverx.com’ – ‘filedownloaderserver.com’ – ‘updatefileservercross.com’ – ‘43.229.55.44’ – ‘38.27.99.69’ – ‘sophosfirewallupdate.com’ – ‘filedownloaderservers.com’ – ‘ragnarokfromasgard.com’ – ‘sophosenterprisecenter.com’ – ‘sophoswarehouse.com’ – ‘sophosproductupdate.com’ – ‘sophostraining.org’ condition: keyword falsepositives: – esta regla podría activarse con datos de IOC de fuentes de inteligencia de amenazas level: crítico |
