Sophos рассказала о трояне, атаковавшем XG Firewall

Как ранее сообщал SecurityLab, на прошлых выходных компания Sophos в экстренном порядке исправила уязвимость нулевого дня в своем межсетевом экране XG Firewall. По данным Sophos, с 22 апреля 2020 года уязвимость эксплуатировалась киберпреступниками для распространения трояна Asnarök, похищающего имена пользователей и хэши паролей.

Речь идет об уязвимости, позволяющей осуществить SQL-инъекцию и удаленно выполнить код на физическом или виртуальном межсетевом экране. После эксплуатации уязвимости полезная нагрузка Asnarök загружалась на атакуемый межсетевой экран в виде нескольких сценариев командной оболочки Linux. Вместе с полезной нагрузкой эксплоит также загружал сценарий командной оболочки, который делал установщик вредоносного ПО исполняемым и запускал его на скомпрометированном устройстве.

Для того чтобы запускаться при каждой загрузке межсетевого экрана, Asnarök модифицировал некоторые его службы и использовал их как механизм сохранения персистентности.

Как показал реверс-инжиниринг трояна, он был создан специально для сбора логинов и хэшей паролей пользователей межсетевого экрана, а также некоторой системной информации. Тем не менее, каких-либо свидетельств того, что собранные Asnarök данные были успешно получены злоумышленниками, исследователи не обнаружили.

По сути, троян мог собирать такую информацию о межсетевом экране, как номер лицензии и серийный номер продукта, список хранящихся на устройстве электронных адресов пользователей (первым в списке указывается электронный адрес администратора), имена пользователей, зашифрованные пароли, «подсоленный» с помощью хэш-функции SHA256 пароль администратора, список идентификаторов пользователей, которым разрешено использовать межсетевой экран для SSL VPN и VPN-соединение без клиента.

Asnarök также делал запросы во внутреннюю базу данных межсетевого экрана в поисках сведений о версии ОС, объеме оперативной памяти, ЦП, времени непрерывной работы (аптайме), разрешениях на выделение пользовательских IP-адресов и пр. Собранные данные записывались в файл Info.xg, архивировались, шифровались и отправлялись на подконтрольный злоумышленникам сервер.

Sophos заблокировала использовавшиеся трояном домены 22-23 апреля и 23-24 апреля начала рассылать исправления для уязвимости. Завершающее обновление безопасности было выпущено 25 апреля. Пользователям, не включившим функцию автоматического обновления межсетевого экрана, нужно установить исправление вручную.