#6【英語記事和訳】Malware Delivered to Sophos Firewalls via Zero-Day Vulnerability
- 概要
日付: 2020-04-26
セキュリティ企業であるSophos の製品であるXG Firewallアプライアンスにゼロデイ脆弱性が存在しており,その脆弱性はマルウェアの配布に悪用されていたが,パッチがあてられたことが公表された.Sophos が公開したHotfix を適用すると,ユーザーにファイアウォールが侵害されたかどうかが通知される.
攻撃の対象となったのは,管理サービスやユーザーポータルがインターネット上に露出しているシステムであり,情報を漏えいさせる機能を持つマルウェアをダウンロードしていた.
漏えいしたデータは,ローカルデバイスの管理者,ポータルの管理者,リモートアクセス用に設定されたアカウントのユーザ名とそのパスワードハッシュ値およびファイアウォールに関する情報やアカウントの電子メールアドレス,IPアドレスの割り当て許可に関する情報などが含まれている可能性がある.
攻撃者の仕込んだスクリプトは,永続性を保つために再起動後も接続を確保する仕組みがされていた.攻撃に関与したマルウェアは「Asnarok」とした.攻撃に使用されたスクリプトは,最終的にはファイアウォールのオペレーティングシステム用にコンパイルされたELF バイナリ形式のファイルをダウンロードする操作を実行していた.
Sopos はIoC や技術的な詳細を公表している.侵害されていないユーザーは何も対策を講じる必要はなく,今回の攻撃の出標的にされたファイアウォールはファイアウォールのパスワードを変更する必要があるとしている.
- 和訳
サイバーセキュリティ企業のソフォスは週末、同社のXG Firewallアプライアンスにマルウェアを配信するために悪用されていたゼロデイ脆弱性をパッチ適用したことを顧客に通知した。
ソフォスによると、同社のXGファイアウォールを標的とした攻撃については、4月22日にデバイスの管理インターフェイスで不審なフィールド値が発見されたことを受けて判明したという。調査の結果、攻撃者がこれまで知られていなかったSQLインジェクションの脆弱性を悪用して、露出した物理ファイアウォールや仮想ファイアウォールをハッキングしていたことが判明した。複数の顧客が標的となった。
同社によると、攻撃の対象となったのは、管理サービスやユーザーポータルがインターネットに露出しているシステム。攻撃者は、セキュリティホールを悪用して、ファイアウォールからデータを流出させるマルウェアをダウンロードしようとしていたようだ。
このデータには、ローカルデバイスの管理者、ポータルの管理者、リモートアクセス用に設定されたユーザーアカウントのユーザー名とパスワードのハッシュが含まれている可能性があります。このマルウェアは、ファイアウォールに関する情報、アプライアンスに保存されているアカウントの電子メールアドレス、IPアドレスの割り当て許可に関する情報にもアクセスしている可能性があります。
"ADやLDAPなどの外部認証システムに関連付けられたパスワードは影響を受けません」とソフォスは顧客に説明しています。
ソフォスは攻撃開始直後から対策を開始し、4月25日にSQLインジェクションの脆弱性を修正するSFOSのHotfixをロールアウトした。このHotfixを適用すると、ユーザーには、この攻撃の一環としてファイアウォールが侵害されたかどうかも通知される。
ソフォスは日曜日の深夜に公開したブログ記事の中で、攻撃者がSQLインジェクションの脆弱性を悪用して、ファイアウォールのデータベースに1行のコマンドを挿入したことを明らかにした。このコマンドにより、影響を受けたデバイスは、リモートサーバーから Install.sh という名前の Linux シェルスクリプトをダウンロードするようになりました。このスクリプトはその後、より多くの SQL コマンドを実行し、仮想ファイルシステム上により多くのファイルを落としました。
攻撃で展開された他のスクリプトは、デバイスの再起動時に永続性を確保し、バックアップチャネルを作成するように設計されていました。
"Install.sh スクリプトは、最初は、データベース内の特定のテーブルの値を変更またはゼロアウトするために、多数の Postgres SQL コマンドを実行しましたが、そのうちの 1 つは通常デバイス自体の管理 IP アドレスを表示します。"これは攻撃を隠蔽しようとしたように見えますが、裏目に出てしまいました。一部のアプライアンスでは、シェルスクリプトの活動により、攻撃者自身が注入した SQL コマンドラインがファイアウォールの管理パネルのユーザーインターフェースに表示されるようになりました。アドレスの代わりに、シェルコマンドの行が表示されていました。
ソフォスは、攻撃に関与したマルウェアを「Asnarok」とし、その操作を "未知の敵対者 "に起因するとしています。
"攻撃の実行には、一連のLinuxシェルスクリプトを使用した重要なオーケストレーションがあり、最終的にはファイアウォールのオペレーティングシステム用にコンパイルされたELFバイナリ実行可能なマルウェアをダウンロードしていました。
ソフォスは勧告の当初のバージョンでは、ハッカーが標的としたファイアウォールの背後にあるローカルネットワーク上の何かにアクセスしたという証拠はないと述べていましたが、この文章は後に追加の説明をすることなく削除されました。その後のブログ記事では、ファイアウォールから収集したデータが実際に流出したという証拠はないとしている。
サイバーセキュリティ企業は、侵害の指標(IoC)と攻撃に関する技術的な詳細を公表している。同社によれば、ファイアウォールが侵害されていない顧客は、何も対策を講じる必要はないという。今回の攻撃でファイアウォールが標的にされたことを知らされたユーザーは、デバイス上のパスワードを変更する必要があるという。
- 原文
Cybersecurity company Sophos informed customers over the weekend that it has patched a zero-day vulnerability that has been exploited to deliver malware to its XG Firewall appliances.
Sophos said it learned about attacks targeting its XG firewall on April 22 after a suspicious field value was discovered in a device’s management interface. An investigation revealed that attackers have been exploiting a previously unknown SQL injection vulnerability to hack exposed physical and virtual firewalls. Multiple customers were targeted.
According to the company, the attack was aimed at systems with the administration service or the user portal exposed to the internet. The attackers were apparently trying to exploit the security hole to download malware that would allow them to exfiltrate data from the firewall.
This data can include usernames and password hashes for the local device administrators, portal admins, and user accounts set up for remote access. The malware could have also gained access to information about the firewall, email addresses of accounts stored on the appliance, and information on IP address allocation permissions.
“Passwords associated with external authentication systems such as AD or LDAP are unaffected,” Sophos told customers.
Sophos started taking measures shortly after the attack started and it rolled out a SFOS hotfix that patches the SQL injection vulnerability on April 25. Once they have applied the hotfix, users are also informed if their firewall has been compromised as part of this attack.
In a blog post published late on Sunday, Sophos revealed that the attacker exploited the SQL injection vulnerability to insert a one-line command into the firewall database. This command caused affected devices to download a Linux shell script named Install.sh from a remote server. The script then executed more SQL commands and dropped more files onto the virtual file system.
Other scripts deployed in the attack were designed to ensure persistence across device reboots and for creating a backup channel.
“The Install.sh script, initially, ran a number of Postgres SQL commands to modify or zero out the values of certain tables in the database, one of which normally displays the administrative IP address of the device itself,” Sophos researchers explained. “It appears that this was an attempt to conceal the attack, but it backfired: On some appliances, the shell script’s activity resulted in the attacker’s own injected SQL command line being displayed on the user interface of the firewall’s administrative panel. In place of what should have been an address, it showed a line of shell commands.”
Sophos has dubbed the malware involved in the attack Asnarok and attributed the operation to an “unknown adversary.”
“There was significant orchestration involved in the execution of the attack, using a chain of Linux shell scripts that eventually downloaded ELF binary executable malware compiled for a firewall operating system,” the company explained.
In the initial version of its advisory, Sophos said it had no evidence that the hackers accessed anything on the local networks behind the targeted firewalls, but that sentence was later removed without additional clarifications. The subsequent blog post does say that there is no evidence that the data collected from firewalls was actually exfiltrated.
The cybersecurity firm has published indicators of compromise (IoC) and technical details about the attack. The company says customers whose firewalls have not been compromised do not need to take any action. Users who are informed that their firewalls have been targeted in this attack will need to change their passwords on the device.
- 所感/メモ
ゼロデイ脆弱性のパッチが適用されたというニュース.脆弱性を悪用されたデバイスは,マルウェアをダウンロードしてユーザアカウントやパスワードのハッシュ値といった情報を漏えいされた可能性がある.脆弱性はSQL インジェクション.
SQLインジェクションの脆弱性はよく耳にするが,Sophos のような大手のセキュリティ企業でも発生を防ぐことは難しく,今回のように実際に悪用されてしまうところに恐怖を感じる.しかし,無事にパッチが適用され,しかもそのパッチを適用すると攻撃されたかどうかもわかるとのことで,ユーザーとしては一安心できそうな状態になっているように思える.
IoC や技術的な詳細が公開されているようなので,後で読んでおこう.
- 出典