Home Sociedad El malware de Asnarök explota el cortafuegos de día cero, para robar...

El malware de Asnarök explota el cortafuegos de día cero, para robar credenciales

Algunos productos de cortafuegos de Sophos, fueron atacados con un nuevo malware troyano, llamado Asnarök por la empresa de seguridad cibernética, para robar nombres de usuario y contraseñas falsas a partir del 22 de abril, según un calendario oficial.

El malware explota una vulnerabilidad de inyección SQL de día cero que puede conducir a la ejecución remota de código en cualquier cortafuegos físico y virtual no parcheado al que ataca.

“Hubo una orquestación significativa involucrada en la ejecución del ataque, usando una cadena de scripts de shell de Linux que eventualmente descargó malware ejecutable binario ELF compilado para un sistema operativo de firewall”, explicaron expertos de Sophos, en un aviso publicado durante el fin de semana.

“Este ataque se dirigió a los productos de Sophos y aparentemente estaba destinado a robar información sensible del cortafuegos”.

La carga útil de malware de Asnarök se descargó para atacar dispositivos de cortafuegos en forma de múltiples scripts de shell de Linux después de explotar la vulnerabilidad de ejecución de código remoto de inyección SQL de día cero.

El exploit utilizado para descargar la carga útil también eliminó un script de shell que hacía ejecutable el script de instalación del malware y lo lanzó en los dispositivos comprometidos.

Asnarök también “modificó los servicios para asegurarse de que se ejecutaba cada vez que el cortafuegos se iniciaba; sirvió como mecanismo de persistencia del malware”, según el análisis de Sophos.

Como descubrieron los investigadores, al examinar y realizar ingeniería inversa en el troyano, el malware está diseñado específicamente para recoger y extraer nombres de usuario de cortafuegos y contraseñas de hash, así como cierta información del sistema.

Los investigadores indicaron que las credenciales asociadas con sistemas de autenticación externos como los servicios de Directorio Activo y LDAP no estaban expuestas y no eran el objetivo de Asnarök.

Además, la compañía no tiene pruebas de que alguno de los datos recogidos por los atacantes con la ayuda del troyano Asnarök se haya exfiltrado con éxito.

El malware sólo es capaz de recopilar información residente en el cortafuegos que podría incluir:

– La licencia y el número de serie del cortafuegos

– Una lista de las direcciones de correo electrónico de las cuentas de usuario que se almacenaron en el dispositivo, seguida del correo electrónico principal perteneciente a la cuenta de administrador del cortafuegos

– Los nombres de los usuarios del cortafuegos, los nombres de usuario, la forma encriptada de las contraseñas y el hash SHA256 salado de la contraseña de la cuenta del administrador. Las contraseñas no se almacenaron en texto plano.

– Una lista de las identificaciones de los usuarios a los que se les permitía usar el firewall para SSL VPN y las cuentas a las que se les permitía usar una conexión VPN “sin clientes”.

Asnarök también consulta la base de datos interna de los cortafuegos infectados para recopilar información sobre la versión del sistema operativo, la cantidad de RAM y la CPU, información sobre el tiempo de actividad y los permisos de asignación de direcciones IP de los usuarios, entre otros.

Todos los datos se escriben en un archivo Info.xg, se archivan, se encriptan y luego se envían a los servidores controlados por el atacante.

Sophos bloqueó los dominios utilizados por Asnarök el 22 y 23 de abril, e impulsó las mitigaciones a los dispositivos de cortafuegos afectados el 23 y 24 de abril, después de identificar al vector de ataque inicial de inyección SQL.

Con información de: Help Net Security.