Вторник, 7 июля, 00:30
дома безопасность Вредоносная программа Asnarök: атакует брандмауэр Sophos и похищает учетные данные

Вредоносная программа Asnarök: атакует брандмауэр Sophos и похищает учетные данные

Некоторые продукты брандмауэра Sophos подверглись атаке со стороны нового троянского вредоносного ПО, названного исследователями Sophos Asnarök, которое должно было похитить имена пользователей и хэшированные пароли с 22 апреля, согласно официальному расписанию.

Вредоносное ПО использует уязвимость внедрения SQL-кода нулевого дня, которая может привести к удаленному выполнению кода в различных брандмауэрах.

«Эта атака направлена ​​на продукты Sophos и, по-видимому, была предназначена для кражи конфиденциальной информации с брандмауэров». сказал Софос.

Sophos firewall

Полезная нагрузка вредоносного ПО Asnarök была «загружена» для атаки на устройства брандмауэра в виде множественных сценариев Linux в оболочке после использования уязвимости, заключающейся в удаленном вводе кода нулевым днем ​​SQL-инъекции.

Эксплойт, используемый для получения полезной нагрузки, также «выбросил» сценарий оболочки, который сделал исполняемый скрипт установщика вредоносных программ и запустил его в скомпрометированные устройства.

Asnarök "также изменил сервисы, чтобы он работал каждый раз при запуске брандмауэра - он служил механизмом циклического сохранения вредоносных программ", согласно анализу Sophos.

Аснарок украл учетные данные брандмауэра

Исследователи обнаружили, что во время тестирования троянов вредоносное ПО было разработано специально для сбора и удаления имена пользователей и пароли брандмауэра, а также некоторая системная информация.

Sophos сказал, что учетные данные, связанные с внешними системами аутентификации, такими как услуги Active Directory и LDAP, не были выставлены и не были целью Asnarök.

Кроме того, у Sophos нет никаких доказательств того, что данные Собранные злоумышленниками с помощью трояна Asnarök были успешно извлечены.

Вредоносное ПО может собирать следующую информацию брандмауэра:

  • Лицензия и серийный номер брандмауэра
  • Список адресов электронной почты учетных записей пользователей, сохраненных на устройстве, за которым следует основной адрес электронной почты, принадлежащий учетной записи администратора брандмауэра.
  • Имена пользователей брандмауэра, имена пользователей, форма зашифрованного пароля и SHA256 хэш пароля учетной записи администратора. Пароли не были сохранены в виде простого текста.
  • Список идентификаторов пользователей, которым разрешено использовать брандмауэр для SSL VPN и учетных записей, которые позволяют использовать VPN-соединение без клиента.

Asnarök также просит внутреннюю базу данных зараженных брандмауэров собрать информацию о его выпуске. операционная системаобъем памяти Оперативная память и CPU информация о времени работы и права пользователей на назначение IP-адресов.

Все данные записываются в файл Info.xg, архивируются, шифруются и затем отправляются на серверы, контролируемые злоумышленниками.

Клиенты уведомляются, если их устройства были скомпрометированы

Sophos исключил домены, используемые Asnarök 22 и 23 апреля, и выпустил исправления для устройств брандмауэра, затронутых 23 и 24 апреля.

Окончательное обновление безопасности для уязвимости нулевого дня XG Firewall было готово к полудню 25 апреля, когда Sophos начал выпускать его на всех устройствах XG Firewall с включенным автоматическим обновлением.

Клиенты, которые не активировали автоматическое обновление в брандмауэрах, могут следовать этим инструкциям, чтобы вручную установить аварийное восстановление.

Sophos автоматически отобразит уведомления в интерфейсе управления брандмауэра XG, чтобы сообщить клиентам, если их устройства были скомпрометированы.

Если вы получили уведомление о том, что ваше устройство заражено, Sophos рекомендует предпринять следующие дополнительные действия, чтобы обеспечить полную безопасность брандмауэра:

1. Восстановите учетные записи администратора портала и устройства.

2. Перезагрузите устройства XG

3. Восстановите пароли для всех локальных учетных записей пользователей.

4. Несмотря на то, что пароли были хэшированы, рекомендуется восстановить пароли для учетных записей, где учетные данные XG могли быть использованы повторно.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Teo Ehc
Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

LIVE NEWS

Windows 10 2004: Несанкционированные настройки «блокируют» обновление

Пользователи сообщают, что у них есть проблема с Windows 10, так как они исключены из приложения обновления от мая 2020 года, когда они вручную пытаются ...
00: 02: 04

Lenovo улучшает Linux ThinkPad, но проблемы остаются

В прошлом месяце, когда Lenovo объявила, что собирается сертифицировать серию ThinkPad для использования с операционными системами Linux, мы сразу подумали ...

Нигерии обвиняют в мошенничестве против американских компаний

Нигериец был доставлен в федеральный суд в Чикаго в пятницу после того, как его обвинили в координации международной системы кибер-мошенничества, которая затронула ...

Домашние маршрутизаторы отображают критические ошибки и запускают непатентованный Linux

Немецкий институт связи Фраунгофера (FKIE) провел опрос, в котором приняли участие 127 домашних маршрутизаторов семи различных брендов, чтобы ...

Выпуск iPhone 12: увидим ли мы его, наконец, к концу 2021 года?

Новые данные о выпуске iPhone 12, который, как мы все ожидаем, не произойдет в сентябре, говорят о том, что он будет только отложен ...

MySQL: заменяет термины, которые усиливают расовую дискриминацию

Разработчики базы данных MySQL объявили, что будут заменять такие термины, как master, slave, blacklist и whitelist.

Генеральный директор инвестиционной компании криптовалюты обманывал

Как сообщает News24, Вилли Бридт, основатель VaultAge Solutions (криптовалютная инвестиционная компания), объявил о банкротстве на прошлой неделе и ...

Великобритания: исключит ли это Huawei из своих сетей 5G?

Правительство Великобритании получило отчет NCSC о Huawei, который может изменить его политику ...

Инженер Yahoo не находится в тюрьме после взлома 6.000 учетных записей

Бывший инженер Yahoo был приговорен к пяти годам тюрьмы за взлом личных аккаунтов ...

PoC-уязвимости, выпущенные для критической уязвимости на устройствах F5 BIG-IP

PoC-эксплойты, выпущенные для критической уязвимости в устройствах F5 BIG-IP Через два дня после публикации информации о критической уязвимости в F5 ...