Détection CVE-2022-1040 : Le groupe APT DriftingCloud exploite une faille RCE dans le pare-feu Sophos
Table des matières :
Un groupe APT chinois notoire connu sous le nom de « DriftingCloud » cible l’entreprise de cybersécurité Sophos. Notamment, on pense que l’acteur de la menace est à l’origine de l’exploitation active d’une faille de sécurité dans le pare-feu Sophos. La faille, identifiée comme CVE-2022-1040, a un score de gravité de 9,8 et affecte les versions du pare-feu Sophos 18.5 MR3 et plus anciennes depuis le début du printemps 2022. La vulnérabilité, bien que corrigée en mars cette année, expose encore les utilisateurs du pare-feu Sophos à des attaques RCE.
Le bug affecte le portail utilisateur et l’interface Webadmin du pare-feu Sophos par un contournement d’authentification qui pourrait entraîner une exécution de code à distance.
Les adversaires exploitent la vulnérabilité pour cibler principalement les entreprises situées en Asie du Sud.
Détecter CVE-2022-1040
Pour repérer les tentatives d’exploitation de la vulnérabilité RCE critique du pare-feu Sophos, utilisez la règle Sigma suivante publiée par une équipe d’ingénieurs de chasse aux menaces de SOC Prime.
Les experts en cybersécurité sont plus que bienvenus pour rejoindre le Threat Bounty Program pour partager leur contenu SOC sur la plateforme leader pour des récompenses monétaires récurrentes. Toutes les détections soumises sont examinées et vérifiées par des experts de SOC Prime. Le mois dernier, le paiement moyen aux membres du programme était de 1 429 $.
Activité post-exploitation possible du groupe de menaces DriftingCloud (via serveur web)
La règle est alignée avec le dernier cadre MITRE ATT&CK® v.10. traitant de la tactique d’accès initial avec la technique Exploiter une Application Exposée au Public (T1190). Les praticiens de la sécurité peuvent facilement passer entre plusieurs formats SIEM, EDR et XDR pour obtenir le code source de la règle applicable à plus de 16 solutions de sécurité.
Les utilisateurs enregistrés peuvent accéder aux règles Sigma pertinentes pour détecter les exploits de CVE-2022-1040 en cliquant sur le bouton Détecter & Chasser . En cliquant sur le bouton Explorer le Contexte de la Menace , les professionnels de la sécurité non enregistrés peuvent accéder à une bibliothèque complète de contenu SOC avec tout le contexte pertinent.
Détecter & Chasser Explorer le Contexte de la Menace
Analyse de la vulnérabilité CVE-2022-1040
Les chercheurs de Volexity ont publié des détails techniques concernant les attaques exploitant CVE-2022-1040. Selon le rapport de recherche, les exploits furtifs visent à compromettre davantage les serveurs web hébergés sur le cloud qui hébergent les sites web publics de la cible.
Après avoir obtenu un accès initial, les adversaires déposent une porte dérobée webshell et établissent une forme secondaire de persistance. Les chercheurs ont révélé que les adversaires contournent le pare-feu pour lancer des attaques man-in-the-middle (MITM). Les informations récoltées lors des attaques MITM sont utilisées pour étendre la surface d’attaque, compromettant des systèmes au-delà de la cible initiale.
La vulnérabilité est considérée comme résolue, et actuellement, la mitigation de CVE-2022-1040 ne nécessite aucune action du côté de l’utilisateur. Le fournisseur a assuré que tous les clients concernés avec l’installation automatique des correctifs activée ne devraient pas rencontrer de problèmes de sécurité liés à la faille CVE-2022-1040.
Consultez le bibliothèque SOC Prime – une solution tout-en-un pour maîtriser les compétences avancées de SIEM, élargir vos horizons professionnels avec des vidéos éducatives approfondies et se tenir au courant avec des guides pratiques sur la chasse aux menaces.
