Les pirates chinois ont utilisé un exploit zero-day pour une vulnérabilité de gravité critique dans Sophos Firewall afin de compromettre une entreprise et de violer les serveurs Web hébergés dans le cloud exploités par la victime.
Le 25 mars, Sophos a publié un avis de sécurité concernant CVE-2022-1040, une vulnérabilité de contournement d’authentification qui affecte le portail utilisateur et l’administrateur Web de Sophos Firewall et pourrait être exploitée pour exécuter du code arbitraire à distance.
Cette semaine, la société de cybersécurité Volexity a détaillé une attaque d’un groupe chinois de menaces persistantes avancées qu’ils suivent sous le nom de DriftingCloud, qui exploitait CVE-2022-1040 depuis début mars, un peu plus de trois semaines avant que Sophos ne publie un correctif.
L’adversaire a utilisé l’exploit zero-day pour compromettre le pare-feu afin d’installer des portes dérobées Webshell et des logiciels malveillants qui permettraient de compromettre des systèmes externes en dehors du réseau protégé par Sophos Firewall.
Les chercheurs affirment que l’accès à Sophos Firewall était la première étape de l’attaque, permettant à l’adversaire d’effectuer une activité d’homme du milieu en modifiant les réponses DNS pour des sites Web spécifiques gérés par la société victime.
Sophos a fourni des correctifs qui corrigent automatiquement CVE-2022-1040 ainsi que des atténuations qui aident les organisations utilisant son pare-feu à se protéger contre l’exploitation de la vulnérabilité.