Kritieke kwetsbaarheid in Sophos Firewall misbruikt voor MITM-aanvallen

[Captain Kirk]

Een kritieke kwetsbaarheid in de firewall-oplossing van securitybedrijf Sophos is zeker drie weken voor het uitkomen van een beveiligingsupdate misbruikt voor man-in-the-middle (MITM)-aanvallen. Dat laat securitybedrijf Volexity weten. Sophos kwam op 25 maart met de update en meldde een aantal dagen later dat de kwetsbaarheid was gebruikt voor het aanvallen van specifieke organisaties in Zuid-Azië.

Via het beveiligingslek kan een aanvaller op afstand en zonder inloggegevens de authenticatie omzeilen en vervolgens willekeurige code op de firewall uitvoeren. Daarmee heeft een aanvaller volledige controle over het systeem. De impact van het beveiligingslek, aangeduid als CVE-2022-1040, is op een schaal van 1 tot en met 10 beoordeeld met een 9.8.

Volexity zegt dat misbruik van het lek al sinds 5 maart plaatsvindt. Bij de waargenomen aanvallen gebruiken de aanvallers de kwetsbaarheid om een webshell op de firewall te installeren en zo toegang tot het systeem te behouden. Vervolgens wordt er een MITM-aanval op computers binnen de aangevallen organisatie uitgevoerd. Zodra gebruikers van deze organisaties bepaalde websites willen bezoeken worden ze doorgestuurd naar een server van de aanvallers, die zo inloggegevens en sessiecookies kunnen stelen om verdere toegang tot webservers te krijgen.

Volgens Volexity hebben de aanvallers het daarbij voorzien op de WordPress-installatie waarmee de betreffende organisaties hun eigen websites onderhouden. Zodra de aanvallers beheerderstoegang tot de WordPress-site hebben gekregen installeren ze een plug-in voor het uploaden van PHP-bestanden. Het gaat in dit geval wederom om een webshell waarmee ze toegang tot de webserver krijgen. Het securitybedrijf claimt dat vanuit China opererende spionagegroepen achter de aanvallen zitten.

 

bron: https://www.security.nl