skip to Main Content

Cybercrime, i Firewall XG di Sophos sotto attacco con Asnarok

Cybercrime, I Firewall XG Di Sophos Sotto Attacco Con Asnarok

di Pierguido Iezzi

Il cybercrime ha preso di mira i firewall XG di Sophos, sfruttando una vulnerabilità e il malware Asnarok. Secondo il produttore, però, non ci sono state esfiltrazioni di dati 

Un gruppo del cybercrime  ha preso di mira il Firewall Sophos XG (sia nella versione fisica sia virtuale) utilizzando un exploit zero-day, con l’obiettivo finale di installare il malware Asnarok nelle appliance vulnerabili. Il produttore, che ha appena pubblicato una patch per rivolvere la problematica, ha dichiarato di non aver visto prove che i dati raccolti siano stati esfiltrati con successo dai sistemi presi di mira. Inoltre ha spiegato che il bug sfruttato è una vulnerabilità di pre-autenticazione SQL injection (è in arrivo una CVE ad-hoc), che porta all’esecuzione remota del codice (RCE). La falla riguarda i sistemi configurati con l’interfaccia di amministrazione (chiamata “servizio di amministrazione HTTPS”) o con il portale utente esposto alla zona WAN. Inoltre, gli esperti di cyber security dell’azienda hanno spiegato in un post che sono stati colpiti anche i firewall configurati manualmente per esporre un servizio (ad es. VPN SSL) alla zona WAN che condivide la stessa porta dell’amministratore o del portale utente.

Come funziona la catena d’infezione per inoculare il trojan

L’attacco ai firewall Sophos XG consiste in una catena di script di shell di Linux, ospitata su un dominio creato ad-hoc, sophosfirewallupdate[.]com. Il cybercrime inizia con l’exploit di SQL injection, che permette di inserire un comando in una tabella di database sul dispositivo preso di mira; questo comando iniettato innesca il download del primo script della shell di Linux, chiamato Install.sh, dal server remoto. La shell viene scritta come “x.sh” e anche inserita nella directory /tmp. Lo script di installazione ne rilascia altri due completamente nuovi e ne modifica uno del sistema operativo esistente. Ciò in un tentativo di stabilire persistenza nel sistema bersaglio. Il primo dei nuovi script di shell si chiama “.lp.sh” e viene installato da “x.sh”, che si connette al sito sophosfirewallupdate, per scaricare un eseguibile Linux ELF, chiamato lp e scritto su /tmp con il nome di “b”.  Il file, quando viene eseguito, si cancella dal filesystem del dispositivo, ed è quindi presente solo in memoria. Poi, ripete una serie di compiti ogni tre-sei ore, tra cui collegarsi all’indirizzo IP 43.229.55.44. Se questo fallisce, prova il dominio sophosproductupdate[.]com. In caso di esito positivo, scarica un altro eseguibile: Sophos.dat.

Il file Sophos.dat è il malware

L’altro script di shell scaricato viene scritto nella directory /tmp con il nome del file .pg.sh. Continua a scaricare un ulteriore e diverso eseguibile ELF, chiamato bk sul webserver e scritto sul filesystem con il nome di .post_MI. Lo script iniziale Install.sh esegue anche una serie di comandi SQL Postgres per modificare o azzerare i valori di alcune tabelle del database. Uno di questi modifica una specifica voce di valore del servizio. Ciò in modo che .post_MI venga lanciato appena il servizio viene eseguito. Lo script “Install.sh” modifica almeno uno script del sistema operativo legato al firewall. Obiettivo: aggiungere alcuni comandi alla fine dello script. Inoltre, è rilevante in quanto il malware ha modificato i servizi per garantirne l’operatività ogni volta che il firewall si avvia ed è servito come meccanismo di persistenza. Infine, Sophos.dat, salvato nel filesystem come 2own, è il trojan Asnarok.

Obiettivo degli attacchi: rubare informazioni dai sistemi delle vittime

Il compito principale del malware Asnarok sembra essere il furto di dati, che può eseguire recuperando il contenuto di varie tabelle di database memorizzate nel firewall, oltre a eseguire alcuni comandi del sistema operativo. Il trojan del cybercrime recupera prima di tutto l’indirizzo IP pubblico in cui è stato installato il firewall, utilizzando motori di ricerca pubblici come “ifconfig.me” e “checkip.dyndns.org”. Successivamente, recupera informazioni su di esso e sui suoi utenti da diverse aree di memorizzazione sul firewall. Gli esperti di cyber security hanno spiegato che tra i dati sottratti ici sono la licenza e il numero di serie del firewall, un elenco degli indirizzi e-mail degli account utente memorizzati sul dispositivo; l’email principale appartenente all’account amministratore e un elenco degli utenti autorizzati a utilizzare il firewall per VPN SSL, nonché una connessione VPN “clientless”. I dati vengono poi raccolti in un file temporaneo sul firewall con il nome Info.xg, compresso, criptato con OpenSSL e destinato all’upload all’indirizzo IP 38.27.99.69. Asnarok, per chiudere il cerchio, cancella i file che ha creato temporaneamente mentre raccoglieva le informazioni.

Back To Top