Los investigadores de Mandiant identificaron una campaña que persistió tenazmente en los dispositivos de la serie SMA 100 de SonicWall.
Los investigadores de Mandiant han identificado una campaña de malware dirigida a los dispositivos SonicWall SMA 100 Series, que se cree que son de origen chino. El malware probablemente se implementó en 2021 y pudo persistir tenazmente en los dispositivos, incluso sobreviviendo a las actualizaciones de firmware. El malware pudo robar las credenciales de los usuarios y proporcionar camino de shell.
La serie SMA 100 es un sistema de control de camino que permite a los usuarios remotos iniciar sesión en los medios de la empresa. Ofrece un portal web combinado de inicio de sesión único (SSO) para autenticar a los usuarios, por lo que interceptar las credenciales de los usuarios le daría una gran delantera a un atacante que examen información confidencial.
Según los informes, los investigadores de Mandiant trabajaron con el Equipo de respuesta a incidentes y seguridad de productos de SonicWall (PSIRT) para examinar un dispositivo infectado.
El observación de los archivos encontrados en el dispositivo mostró que la cosecha de las credenciales de becario (hash) de todos los usuarios registrados era el objetivo principal del malware. Una serie de scripts y una modificación de TinyShell proporcionaron al atacante un camino con privilegios elevados fácilmente acondicionado. El TinyShell diferente es un shell de comandos de Python que se usa para controlar y ejecutar comandos a través de solicitudes HTTP a un shell web. Un shell web es un script pillo utilizado por un atacante con la intención de progresar y sustentar el camino persistente en una aplicación web ya comprometida. En otras palabras, actúa como una puerta trasera en los sistemas afectados.
Los investigadores notaron que los atacantes pusieron un esfuerzo significativo en la estabilidad y persistencia de sus herramientas y mostraron una comprensión detallada del dispositivo.
El malware verificaba la presencia de una aggiornamento de firmware cada diez segundos. Cuando lo encontró, descomprimió el paquete, copió el malware en la aggiornamento y volvió a colocar el archivo zip en el circunscripción diferente, ahora incluye el malware, de modo que posteriormente de la aggiornamento podría continuar recolectando credenciales.
Mitigación
SonicWall insta a los clientes de SMA 100 a poner al día a la interpretación 10.2.1.7 o superior, que incluye mejoras de refuerzo. En una publicación de blog del 1 de marzo de 2023, SonicWall describe el parche y afirma que:
SonicWall ha acogido el enfoque de incorporar mejoras de seguridad en sus productos, como la serie SMA 100, que ayuda a identificar dispositivos potencialmente comprometidos realizando varias comprobaciones a nivel del sistema eficaz y determinando el estado regular del sistema eficaz. Por otra parte, SonicWall envía datos cifrados anónimos a los servidores backend, incluidos los datos de estado del dispositivo, para detectar y confirmar eventos de seguridad y difundir nuevo software para corregir el problema.
Como parte de esta aggiornamento, los clientes de SMA100 con versiones 10.2.1.7 o superiores recibirán notificaciones en su Management Console sobre actualizaciones de seguridad CRÍTICAS pendientes.
Las actualizaciones y las instrucciones sobre cómo poner al día a versiones de firmware 10.x desde varias versiones anteriores de la serie SMA 100 se pueden encontrar en el artículo de la almohadilla de conocimiento de SonicWall Ruta de aggiornamento para la serie SMA100.
No solo informamos sobre las vulnerabilidades, las identificamos y priorizamos la argumento.
Los riesgos de ciberseguridad nunca deben prolongarse más allá de un titular. Mantenga las vulnerabilidades a guión utilizando Malwarebytes Vulnerability and Patch Management.
