Detecção do CVE-2022-1040: Grupo APT DriftingCloud Explora Vulnerabilidade RCE no Firewall Sophos
Índice:
Um notório grupo APT chinês conhecido sob o pseudônimo de “DriftingCloud” tem como alvo a empresa de cibersegurança Sophos. Especificamente, acredita-se que o agente da ameaça esteja por trás da exploração ativa de uma falha de segurança no firewall da Sophos. A falha, identificada como CVE-2022-1040, tem uma gravidade de 9.8 e afeta as versões do Sophos Firewall 18.5 MR3 e anteriores desde o início da primavera de 2022. A vulnerabilidade, embora corrigida em março deste ano, ainda expõe os usuários do Sophos Firewall a ataques de RCE.
O bug impacta o Portal do Usuário e o Webadmin do Sophos Firewall e é uma falha de autenticação que pode resultar em execução remota de código.
Os adversários usam a vulnerabilidade para predominantemente atingir empresas localizadas no Sul da Ásia.
Detectar CVE-2022-1040
Para detectar tentativas de exploração da vulnerabilidade crítica de RCE no Sophos Firewall, use a seguinte regra Sigma lançada por uma equipe de engenheiros de caça a ameaças da SOC Prime.
Os especialistas em cibersegurança são mais do que bem-vindos para se juntar ao Programa de Recompensas de Ameaças para compartilhar seus conteúdos SOC na plataforma líder do setor em troca de recompensas monetárias recorrentes. Todas as detecções submetidas são revisadas e verificadas por especialistas da SOC Prime. No mês passado, o pagamento médio aos membros do Programa foi de $1.429.
Possível Atividade Pós-Explotação do Grupo de Ameaças DriftingCloud (via servidor web)
A regra está alinhada com a mais recente estrutura MITRE ATT&CK® v.10. abordando a tática de Acesso Inicial com a técnica Explorar Aplicação Voltada para o Público (T1190). Os profissionais de segurança podem facilmente alternar entre múltiplos formatos de SIEM, EDR e XDR para obter o código-fonte da regra aplicável a mais de 16 soluções de segurança.
Usuários registrados podem acessar regras Sigma relevantes para detectar explorações do CVE-2022-1040 clicando no botão Detectar & Caçar . Ao clicar no botão Explorar Contexto de Ameaças , profissionais de segurança não registrados podem acessar uma biblioteca abrangente de conteúdos SOC com todo o contexto relevante.
Detectar & Caçar Explorar Contexto de Ameaças
Análise de Vulnerabilidade CVE-2022-1040
Pesquisadores da Volexity liberaram detalhes técnicos sobre os ataques que exploram a CVE-2022-1040. De acordo com o relatório de pesquisa, as explorações furtivas têm o intuito de comprometer ainda mais servidores web hospedados em nuvem que hospedam os sites voltados para o público do alvo.
Após o acesso inicial, os adversários deixam um backdoor de webshell e estabelecem uma forma secundária de persistência. Os pesquisadores divulgaram que os adversários quebram o firewall para lançar ataques man-in-the-middle (MITM). As informações coletadas nos ataques MITM são usadas para expandir a superfície de ataque, comprometendo sistemas além do alvo inicial.
A vulnerabilidade é considerada resolvida e, no momento, a mitigação da CVE-2022-1040 não requer nenhuma ação por parte do usuário. O fornecedor assegurou que todos os clientes afetados com a instalação automática de hotfixes ativada não devem enfrentar problemas de segurança associados à falha CVE-2022-1040.
Confira a biblioteca da SOC Prime – uma solução completa para dominar habilidades avançadas de SIEM, expandir seu horizonte profissional com vídeos educacionais aprofundados e acompanhar guias práticos de caça a ameaças.
