Il trojan Asnarök prendeva di mira i firewall di Sophos, c'è già la patch

I firewall fungono da linea di difesa delle reti aziendali: a loro è affidata la sicurezza di tutto ciò che è presente nella rete. Ma cosa succede quando a essere compromessi sono proprio i firewall? Sophos ha scoperto una vulnerabilità in uno dei suoi firewall, il Sophos XG Firewall, che consentiva all'attaccante di installare un trojan chiamato Asnarök. Questo inviava poi i nomi utente e le password cifrate degli utenti, assieme a informazioni sul firewall, a un server bersaglio. La vulnerabilità è già stata corretta.

Sophos scopre "Asnarök", un Trojan che attacca i suoi firewall

Sophos ha iniziato a indagare su Asnarök dopo la segnalazione di un cliente, che ha riscontrato un problema nel pannello di configurazione del firewall: al posto di un indirizzo IP erano presenti dei comandi. L'attacco iniziava infatti con una SQL injection, ovvero con l'iniezione di un comando all'interno di un campo nel pannello di amministrazione del firewall. Tale pannello era raggiungibile anche da Internet in alcune configurazioni.

Il comando inserito dagli attaccanti scaricava uno script, il quale a sua volta scaricava un eseguibile e altri script, in una catena che aveva l'obiettivo di nascondere l'infezione: la tecnica era tanto sofisticata da utilizzare nomi per gli eseguibili simili a quelli di programmi leciti e da cancellare i file eseguibili dal disco una volta avviati così da non lasciare tracce. Veniva inoltre modificato uno script di sistema per far sì che a ogni riavvio del server la procedura venisse ripetuta, assicurandosi dunque che l'infezione venisse mantenuta.

Oltre ad assicurarsi la sopravvivenza, il malware raccoglieva alcuni dati dal firewall vittima: veniva infatti recuperato l'IP assieme alla chiave di licenza e numero identificativo del firewall e all'hash della password di amministrazione (una forma di cifratura in cui il dato originale viene distrutto) prelevata dalla RAM. Veniva poi interrogato il database per ottenere i nomi utente con le relative password salted (cifrate con una serie di caratteri aggiunte così da complicare la ricostruzione dell'originale) e le politiche di utilizzo della VPN.

Il nome "Asnarök" è probabilmente ispirato al fatto che a questo punto il malware procedeva a tentare di scaricare dei dati da ragnarokfromasgard.com: un dominio che non solo è filologicamente sbagliato, visto che il Ragnarök non inizia ad Asgard, ma che oltretutto non rispondeva. Sophos afferma che non ci siano prove che il malware sia mai andato oltre la raccolta dei dati, e che non abbia dunque mai proseguito al loro invio.

Problema risolto? Quasi: la patch va installata

Sophos annuncia di aver già corretto la vulnerabilità e di aver pubblicato degli aggiornamenti per i propri firewall così da riconoscere i file di Asnarök come malevoli e da bloccare i domini coinvolti. L'azienda ha pubblicato un resoconto dettagliato a questo indirizzo.

Come nella maggioranza dei casi, il vero problema sta ora nell'applicazione delle patch. Sebbene Sophos sia riuscita a individuare il problema e creare un rimedio in appena due giorni, la gestione della patch da parte delle aziende può portare a un ritardo sostanzioso che le espone al rischio di attacco. Come era già emerso durante la nostra intervista con Qualys, il tempo di applicazione delle patch nelle aziende può spesso essere misurato in decine di giorni: ricordiamo dunque ancora una volta che è essenziale prevedere delle procedure di risposta ai casi più gravi come Asnarök per installare le patch nel più breve tempo possibile, anche quando a essere impattati sono sistemi critici come i firewall.