Il trojan Asnarök prendeva di mira i firewall di Sophos, c'è già la patch

Il trojan Asnarök prendeva di mira i firewall di Sophos, c'è già la patch

Sophos ha scoperto una vulnerabilità in alcuni suoi firewall che permetteva agli attaccanti di raccogliere informazioni sul firewall e i suoi utenti, con l'intento di cercare di penetrare le difese con le credenziali reali. Già emessa una patch

di pubblicata il , alle 08:21 nel canale Security
Sophos
 

I firewall fungono da linea di difesa delle reti aziendali: a loro è affidata la sicurezza di tutto ciò che è presente nella rete. Ma cosa succede quando a essere compromessi sono proprio i firewall? Sophos ha scoperto una vulnerabilità in uno dei suoi firewall, il Sophos XG Firewall, che consentiva all'attaccante di installare un trojan chiamato Asnarök. Questo inviava poi i nomi utente e le password cifrate degli utenti, assieme a informazioni sul firewall, a un server bersaglio. La vulnerabilità è già stata corretta.

Sophos scopre "Asnarök", un Trojan che attacca i suoi firewall

Asnarok, il trojan ispirato alla mitologia nordica

Sophos ha iniziato a indagare su Asnarök dopo la segnalazione di un cliente, che ha riscontrato un problema nel pannello di configurazione del firewall: al posto di un indirizzo IP erano presenti dei comandi. L'attacco iniziava infatti con una SQL injection, ovvero con l'iniezione di un comando all'interno di un campo nel pannello di amministrazione del firewall. Tale pannello era raggiungibile anche da Internet in alcune configurazioni.

Il comando inserito dagli attaccanti scaricava uno script, il quale a sua volta scaricava un eseguibile e altri script, in una catena che aveva l'obiettivo di nascondere l'infezione: la tecnica era tanto sofisticata da utilizzare nomi per gli eseguibili simili a quelli di programmi leciti e da cancellare i file eseguibili dal disco una volta avviati così da non lasciare tracce. Veniva inoltre modificato uno script di sistema per far sì che a ogni riavvio del server la procedura venisse ripetuta, assicurandosi dunque che l'infezione venisse mantenuta.

Oltre ad assicurarsi la sopravvivenza, il malware raccoglieva alcuni dati dal firewall vittima: veniva infatti recuperato l'IP assieme alla chiave di licenza e numero identificativo del firewall e all'hash della password di amministrazione (una forma di cifratura in cui il dato originale viene distrutto) prelevata dalla RAM. Veniva poi interrogato il database per ottenere i nomi utente con le relative password salted (cifrate con una serie di caratteri aggiunte così da complicare la ricostruzione dell'originale) e le politiche di utilizzo della VPN.

Il nome "Asnarök" è probabilmente ispirato al fatto che a questo punto il malware procedeva a tentare di scaricare dei dati da ragnarokfromasgard.com: un dominio che non solo è filologicamente sbagliato, visto che il Ragnarök non inizia ad Asgard, ma che oltretutto non rispondeva. Sophos afferma che non ci siano prove che il malware sia mai andato oltre la raccolta dei dati, e che non abbia dunque mai proseguito al loro invio.

Problema risolto? Quasi: la patch va installata

Sophos annuncia di aver già corretto la vulnerabilità e di aver pubblicato degli aggiornamenti per i propri firewall così da riconoscere i file di Asnarök come malevoli e da bloccare i domini coinvolti. L'azienda ha pubblicato un resoconto dettagliato a questo indirizzo.

Come nella maggioranza dei casi, il vero problema sta ora nell'applicazione delle patch. Sebbene Sophos sia riuscita a individuare il problema e creare un rimedio in appena due giorni, la gestione della patch da parte delle aziende può portare a un ritardo sostanzioso che le espone al rischio di attacco. Come era già emerso durante la nostra intervista con Qualys, il tempo di applicazione delle patch nelle aziende può spesso essere misurato in decine di giorni: ricordiamo dunque ancora una volta che è essenziale prevedere delle procedure di risposta ai casi più gravi come Asnarök per installare le patch nel più breve tempo possibile, anche quando a essere impattati sono sistemi critici come i firewall.

Resta aggiornato sulle ultime offerte

Ricevi comodamente via email le segnalazioni della redazione di Hardware Upgrade sui prodotti tecnologici in offerta più interessanti per te

Quando invii il modulo, controlla la tua inbox per confermare l'iscrizione.
Leggi la Privacy Policy per maggiori informazioni sulla gestione dei dati personali

2 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
igiolo28 Aprile 2020, 11:41 #1
brava hwupgrade, sul pezzo come spesso accade.
diciamo che ho aggiornato settimana scorsa, alla 17.5.11 MR-11
mi chiedo se sia già la versione patchata o meno
mesi addietro avevo esposta la console admin sulla wan, ma spenta per ovvie ragioni.
si sa quindi da quanto sia in giro questa vulnerabilità?
avendo una decina di vpn, ed oltre 60 client in smartworking, diventa pesante cambiare tutte le password.
igiolo28 Aprile 2020, 12:00 #2

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^