Red Hot Cyber
Condividi la tua difesa. Incoraggia l'eccellenza. La vera forza della cybersecurity risiede nell'effetto moltiplicatore della conoscenza.
Redazione RHC : 30 Giugno 2022 07:00
Gli esperti di Volexity hanno riportato recentemente di come dei criminali informatici hanno sfruttato una vulnerabilità 0day in Sophos Firewall, che è stata corretta dal produttore nel marzo 2022. I ricercatori affermano che gli hacker cinesi del gruppo DriftingCloud hanno utilizzato tale bug.
A marzo 2022 è stata rilasciata una patch per la vulnerabilità CVE-2022-1040, che è stata valutata come critica sulla scala CVSS (9,8 punti su scala 1 a 10). All’epoca, è stato segnalato che il bug consente agli aggressori remoti di aggirare l’autenticazione tramite il portale utente del firewall o tramite il pannello di amministrazione Web e quindi eseguire codice arbitrario.
La vulnerabilità è stata originariamente scoperta da un ricercatore anonimo che l’ha segnalata tramite il programma ufficiale di ricompense dei bug e ha affermato che il problema riguarda Sophos Firewall 18.5 MR3 (18.5.3) e precedenti.
 Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)? Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
A quel tempo erano già stati segnalati attacchi che utilizzavano questo problema, ma si sapeva poco: il produttore ha scritto che il bug veniva sfruttato principalmente negli attacchi contro obiettivi dei paesi dell’Asia meridionale.
Come dicono ora gli analisti di Volexity, gli hacker cinesi, che tracciano sotto il nome di DriftingCloud, utilizza CVE-2022-1040 dall’inizio di marzo, a partire da circa tre settimane prima del rilascio della patch. Gli aggressori hanno utilizzato l’exploit per compromettere il firewall, installare backdoor di webshell e malware.
L’accesso a Sophos Firewall è stata solo la prima fase della compromissione, consentendo un attacco MitM (modificando le risposte DNS per alcuni siti controllati dall’azienda vittima).
“Ciò ha consentito agli aggressori di intercettare le credenziali dell’utente e i cookie di sessione per l’accesso amministrativo al CMS del sito”
afferma il rapporto.
Di conseguenza, gli hacker sono entrati nelle pagine di amministrazione del CMS utilizzando i cookie rubati e hanno installato il plug-in File Manager per elaborare i file sul sito (caricare, scaricare, eliminare, modificare). Inoltre, dopo aver ottenuto l’accesso al server web, gli aggressori hanno installato PupyRAT, Pantegana e Sliver, tre malware per l’accesso remoto ampiamente disponibili.
Quando Volexity ha iniziato a indagare su questi hack, gli aggressori erano ancora attivi, consentendo agli investigatori di seguire quasi tutte le fasi degli attacchi. Si noti che gli hacker hanno cercato di mascherare il proprio traffico accedendo alla shell Web installata tramite richieste al file login.jsp legittimo.
“A prima vista, potrebbe sembrare che si tratti di un tentativo di forza bruta e non di un’interazione con una backdoor. Gli unici elementi reali che sembravano insoliti nei file di registro erano i valori del referrer e i codici di stato della risposta”
affermano gli esperti.
Si noti inoltre che durante gli attacchi, gli hacker hanno utilizzato l’infrastruttura Behinder, precedentemente utilizzata negli attacchi di altri APT cinesi che hanno sfruttato il bug CVE-2022-26134 in Atlassian Confluence.
RedazioneCloudflare torna sotto i riflettori dopo una nuova ondata di disservizi che, nella giornata del 5 dicembre 2025, sta colpendo diversi componenti della piattaforma. Oltre ai problemi al Dashboard e all...
Le spie informatiche cinesi sono rimaste nascoste per anni nelle reti di organizzazioni critiche, infettando le infrastrutture con malware sofisticati e rubando dati, avvertono agenzie governative ed ...
Nove mesi dopo la sua implementazione in Europa, lo strumento di intelligenza artificiale (IA) conversazionale di Meta, integrato direttamente in WhatsApp, sarà oggetto di indagine da parte della Com...
Un’episodio di cyberattacco ha interessato Leroy Merlin, coinvolgendo i dati personali di numerosi clienti in Francia, con un impatto su centinaia di migliaia di individui. Leroy Merlin assicura che...
Gli sforzi dei legislatori e delle forze dell’ordine per contrastare il riciclaggio di denaro e le procedure più complesse di verifica delle schede SIM non hanno indebolito in modo significativo la...
