未打补丁的SonicWall安全移动访问(SMA)设备被植入后门

据称与中国有关的威胁行为者使用自定义后门感染了未打补丁的 SonicWall 安全移动访问(SMA)设备。

Mandiant研究人员报告称，据称与中国有关的威胁行为者（被追踪为UNC4540）在SonicWall SMA设备上部署了自定义恶意软件。该恶意软件允许攻击者窃取用户凭据，通过固件升级实现持久性，并提供shell访问。

对受感染设备的分析表明存在一组文件，攻击者使用这些文件获得对设备的高特权和可用访问权限。恶意代码由一系列bash脚本和一个被识别为TinyShell变体的ELF二进制文件组成。

研究人员认为，威胁行为者对该设备有深刻的了解。

该恶意软件非常适合系统以提供稳定性并保持持久性，即使在安装固件升级的情况下也是如此。

“该恶意软件的主要目的似乎是窃取所有登录用户的散列凭证。它在firewalld中通过例行执行SQL命令 select userName,password from Sessions针对sqlite3 数据库/tmp/temp.db并将它们复制到攻击者创建的文本文件/tmp/syslog.db中。报告指出：“设备使用源数据库/tmp/temp.db来跟踪会话信息，包括哈希凭证。一旦被攻击者检索到，哈希值就可以离线破解。”

目前尚不清楚攻击者如何获得对未打补丁的SonicWall Secure Mobile Access (SMA)设备的初始访问权限。Mandiant专家认为，威胁行为者可能已经利用了目标设备的已知漏洞。

Mandiant认为，该恶意软件或其前身很可能于2021年首次安装，从而为攻击者提供了持久访问权限。

为托管设备开发恶意软件非常复杂，需要对目标有深入的了解。Mandiant指出，供应商通常不允许用户直接访问操作系统或文件系统，而是为管理员提供图形用户界面或有限的命令行界面(CLI)，并带有防护栏以防止任何人意外破坏系统。缺乏访问权限，使得开发此类自定义恶意软件变得非常困难。

“首先，保持适当的补丁管理对于降低漏洞利用的风险至关重要。在发布这篇博文时，SonicWall 敦促 SMA100 客户升级到 10.2.1.7 或更高版本，其中包括文件完整性监控 (FIM) 和异常进程识别等强化增强功能。” 总结报告。“描述补丁功能的 SonicWall 博客文章（新 SMA 版本更新 OpenSSL 库，包括关键安全功能）可用，补丁本身可在此处找到：  SMA100系列的升级路径。”

本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处： https://blog.wuhao13.xin/4839.html