Rilevamento di CVE-2022-1040: Il gruppo APT DriftingCloud sfrutta la vulnerabilità RCE nel firewall Sophos
Indice:
Un noto gruppo APT cinese conosciuto con il soprannome di “DriftingCloud” prende di mira l’azienda di cybersecurity Sophos. In particolare, si ritiene che l’attore della minaccia sia dietro lo sfruttamento attivo di una falla di sicurezza nel firewall di Sophos. Il difetto, tracciato come CVE-2022-1040, ha un punteggio di 9.8 in gravità e ha interessato le versioni 18.5 MR3 e precedenti del Sophos Firewall fin dall’inizio della primavera 2022. La vulnerabilità, sebbene corretta a marzo di quest’anno, espone ancora gli utenti del Sophos Firewall ad attacchi RCE.
Il bug influisce sul Portale Utenti e su Webadmin di Sophos Firewall ed è un bypass di autenticazione che potrebbe comportare l’esecuzione di codice remoto.
Gli avversari sfruttano la vulnerabilità per colpire principalmente aziende situate nel sud-est asiatico.
Rileva CVE-2022-1040
Per individuare tentativi di sfruttamento della critica vulnerabilità RCE di Sophos Firewall, utilizza la seguente regola Sigma rilasciata da un team di ingegneri esperti di ricerca minacce di SOC Prime.
Gli esperti di cybersecurity sono più che benvenuti a unirsi al Threat Bounty Program per condividere il loro contenuto SOC sulla piattaforma leader del settore per ricompense monetarie ricorrenti. Tutte le rilevazioni inviate sono esaminate e verificate dagli esperti di SOC Prime. Lo scorso mese, il pagamento medio ai membri del Programma è stato di $1.429.
Attività Post-Sfruttamento Possibile dal Gruppo DriftingCloud (via server web)
La regola è allineata con il più recente framework MITRE ATT&CK® v.10. affrontando la tattica di Initial Access con la tecnica Exploit Public-Facing Application (T1190). I professionisti della sicurezza possono facilmente passare tra diversi formati SIEM, EDR e XDR per ottenere il codice sorgente della regola applicabile a più di 16 soluzioni di sicurezza.
Gli utenti registrati possono accedere alle regole Sigma rilevanti per rilevare gli exploit CVE-2022-1040 premendo il pulsante Rileva & Caccia . Cliccando sul pulsante Esplora Contesto Minaccia , i professionisti della sicurezza non registrati possono accedere a una libreria completa di contenuti SOC con tutto il contesto pertinente.
Rileva & Caccia Esplora Contesto Minaccia
Analisi della Vulnerabilità CVE-2022-1040
I ricercatori di Volexity hanno rilasciato dettagli tecnici riguardanti gli attacchi che sfruttano CVE-2022-1040. Secondo il rapporto di ricerca, gli exploit furtivi mirano a compromettere ulteriormente i server web ospitati su cloud che ospitano i siti web pubblici del bersaglio.
Dopo l’accesso iniziale, gli avversari depositano una backdoor webshell e stabiliscono una forma secondaria di persistenza. I ricercatori hanno rivelato che gli avversari violano il firewall per avviare attacchi man-in-the-middle (MITM). Le informazioni raccolte nei MITM attacks vengono utilizzate per espandere la superficie d’attacco, compromettendo i sistemi oltre l’obiettivo iniziale.
La vulnerabilità è ritenuta risolta, e al momento, la mitigazione di CVE-2022-1040 non richiede alcuna azione da parte dell’utente. Il fornitore ha assicurato che tutti i clienti coinvolti con l’installazione automatica delle hotfix attivata non dovrebbero affrontare problemi di sicurezza associati alla falla CVE-2022-1040.
Scopri la libreria di SOC Prime – una soluzione unica per padroneggiare le competenze tecniche di SIEM, espandere il proprio orizzonte professionale con video educativi approfonditi e tenersi aggiornati con guide pratiche sulla ricerca di minacce.
