CVE-2022-1040 検出: DriftingCloud APT グループが Sophos ファイアウォールの RCE 脆弱性を悪用

悪名高い中国のAPTグループ「DriftingCloud」がサイバーセキュリティ企業Sophosを標的にしています。具体的には、この脅威アクターがSophosファイアウォールのセキュリティホールの活発な悪用の背後にいると考えられています。この欠陥はCVE-2022-1040として追跡され、重大度は9.8と評価されており、2022年春の初めからSophosファイアウォールバージョン18.5 MR3以前に影響を与えています。今年3月に修正されたにも関わらず、この脆弱性はSophosファイアウォールユーザーをRCE攻撃にさらし続けています。

このバグはSophosファイアウォールのユーザーポータルとWebadminに影響を与え、認証バイパスがリモートコード実行につながる可能性があります。

敵対者はこの脆弱性を武器にして、主に南アジアに所在する企業を標的にしています。

CVE-2022-1040を検出する

重要なSophosファイアウォールRCE脆弱性の悪用を発見するために、SOC Primeの鋭い脅威ハンティングエンジニアチームによってリリースされた次のSigmaルールを使用してください。

サイバーセキュリティの熟練者は、 Threat Bounty Program に参加して、定期的な報酬を得るために業界トップクラスのプラットフォームでSOCコンテンツを共有することが奨励されます。すべての提出された検出は、SOC Primeの専門家によってレビューおよび検証されます。先月、プログラムメンバーへの平均支払いは1,429ドルでした。

DriftingCloud脅威グループのポストエクスプロイト活動の可能性（ウェブサーバー経由）

このルールは、最新の MITRE ATT&CK® フレームワーク v.10 に基づいており、公開されているアプリケーションのエクスプロイト（T1190）技術を用いる初期アクセス戦術を扱っています。セキュリティ実務者は、16以上のセキュリティソリューションに適用できるルールソースコードを取得するために、複数のSIEM、EDR、およびXDRフォーマット間を簡単に切り替えることができます。

登録ユーザは、 検出＆ハント ボタンを押すことでCVE-2022-1040エクスプロイトを検出するための関連Sigmaルールにアクセスできます。また、 脅威コンテキストを探索 ボタンをクリックすることで、未登録のセキュリティ専門家でも関連するすべてのコンテキストを含むSOCコンテンツの包括的なライブラリにアクセスできます。

検出＆ハント 脅威コンテキストを探索

CVE-2022-1040 脆弱性分析

からの研究者 Volexity は、CVE-2022-1040を悪用する攻撃に関する技術的な詳細を公開しました。この研究報告によれば、ステルスなエクスプロイトは、ターゲットの公開ホスティングされているウェブサーバーをさらに侵害することを目的としたものです。

初期アクセス後、敵対者はウェブシェル・バックドアを配備し、二次的な永続性の形式を確立します。研究者たちは、敵対者がファイアウォールを侵害して中間者攻撃（MITM攻撃）を展開することを明らかにしました。MITM攻撃で収集された情報は攻撃面を拡大し、初期のターゲットを超えてシステムを危険にさらすのに使用されます。

この脆弱性は解決済みとされ、現時点でCVE-2022-1040の緩和はユーザ側でのアクションを必要としません。ベンダーは、ホットフィックス機能の自動インストールが有効になっているすべての影響を受けた顧客について、CVE-2022-1040の欠陥に関連するセキュリティ問題に直面することはないと保証しました。

次をチェックしてください SOC Primeライブラリ – SIEMのハードスキルをマスターし、深掘り教育ビデオでプロフェッショナルの視野を広げ、脅威ハンティングに関するガイドとともにキャッチアップするためのワンストップソリューションです。