Seorang aktor ancaman persisten canggih (APT) China yang canggih mengeksploitasi kerentanan keamanan kritis dalam produk firewall Sophos yang terungkap awal tahun ini untuk menyusup ke target Asia Selatan yang tidak disebutkan namanya sebagai bagian dari serangan yang sangat bertarget.
“Penyerang menerapkan web shell backdoor yang menarik, membuat bentuk sekunder dari persistensi, dan akhirnya meluncurkan serangan terhadap staf pelanggan,” kata Volexity dalam sebuah laporan. “Serangan-serangan ini bertujuan untuk lebih jauh menembus server web yang dihosting di cloud yang menghosting situs web organisasi yang menghadap publik.”
Cacat zero-day yang dimaksud dilacak sebagai CVE-2022-1040 (skor CVSS: 9,8), dan menyangkut kerentanan bypass otentikasi yang dapat dipersenjatai untuk mengeksekusi kode arbitrer dari jarak jauh. Ini mempengaruhi Sophos Firewall versi 18.5 MR3 (18.5.3) dan sebelumnya.
Perusahaan keamanan siber, yang mengeluarkan tambalan untuk cacat pada 25 Maret 2022, mencatat bahwa itu disalahgunakan untuk “menargetkan sekelompok kecil organisasi tertentu terutama di kawasan Asia Selatan” dan telah memberi tahu entitas yang terkena dampak secara langsung.
Sekarang menurut Volexity, bukti awal eksploitasi kelemahan dimulai pada 5 Maret 2022, ketika mendeteksi aktivitas jaringan anomali yang berasal dari Sophos Firewall pelanggan yang tidak disebutkan namanya yang menjalankan versi terbaru, hampir tiga minggu sebelum pengungkapan publik dari kerentanan.
“Penyerang menggunakan akses ke firewall untuk melakukan serangan man-in-the-middle (MitM),” kata para peneliti. “Penyerang menggunakan data yang dikumpulkan dari serangan MitM ini untuk mengkompromikan sistem tambahan di luar jaringan tempat firewall berada.”
Selengkapnya: The Hacker News
