未打补丁的SonicWall安全移动访问(SMA)设备被植入后门
据称与中国有关的威胁行为者使用自定义后门感染了未打补丁的 SonicWall 安全移动访问(SMA)设备。

Mandiant研究人员报告称,据称与中国有关的威胁行为者(被追踪为UNC4540)在SonicWall SMA设备上部署了自定义恶意软件。该恶意软件允许攻击者窃取用户凭据,通过固件升级实现持久性,并提供shell访问。
对受感染设备的分析表明存在一组文件,攻击者使用这些文件获得对设备的高特权和可用访问权限。恶意代码由一系列bash脚本和一个被识别为TinyShell变体的ELF二进制文件组成。
研究人员认为,威胁行为者对该设备有深刻的了解。
该恶意软件非常适合系统以提供稳定性并保持持久性,即使在安装固件升级的情况下也是如此。
“该恶意软件的主要目的似乎是窃取所有登录用户的散列凭证。它在firewalld中通过例行执行SQL命令 select userName,password from Sessions针对sqlite3 数据库/tmp/temp.db并将它们复制到攻击者创建的文本文件/tmp/syslog.db中。报告指出:“设备使用源数据库/tmp/temp.db来跟踪会话信息,包括哈希凭证。一旦被攻击者检索到,哈希值就可以离线破解。”
目前尚不清楚攻击者如何获得对未打补丁的SonicWall Secure Mobile Access (SMA)设备的初始访问权限。Mandiant专家认为,威胁行为者可能已经利用了目标设备的已知漏洞。
Mandiant认为,该恶意软件或其前身很可能于2021年首次安装,从而为攻击者提供了持久访问权限。
为托管设备开发恶意软件非常复杂,需要对目标有深入的了解。Mandiant指出,供应商通常不允许用户直接访问操作系统或文件系统,而是为管理员提供图形用户界面或有限的命令行界面(CLI),并带有防护栏以防止任何人意外破坏系统。缺乏访问权限,使得开发此类自定义恶意软件变得非常困难。
“首先,保持适当的补丁管理对于降低漏洞利用的风险至关重要。在发布这篇博文时,SonicWall 敦促 SMA100 客户升级到 10.2.1.7 或更高版本,其中包括文件完整性监控 (FIM) 和异常进程识别等强化增强功能。” 总结报告。“描述补丁功能的 SonicWall 博客文章(新 SMA 版本更新 OpenSSL 库,包括关键安全功能)可用,补丁本身可在此处找到: SMA100系列的升级路径。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/4839.html