Intentan usar el firewall de Sophos para atacar Windows

Intentan usar el firewall de Sophos para atacar Windows

Javier Jiménez

Las vulnerabilidades de día cero son fallos que podemos encontrarnos que permiten su explotación al no disponer de parches. Es algo que puede ocurrir en muchos dispositivos y sistemas y sin duda es un problema importante. Hemos visto en muchas ocasiones ataques de día cero y hoy nos hacemos eco de cómo los ciberdelincuentes han intentado utilizar el firewall de Sophos para explotar una vulnerabilidad de día cero y colar ransomware.

Vulnerabilidad de día cero en el firewall de Sophos

El objetivo de estos piratas informáticos era atacar una vulnerabilidad de día cero en el firewall de Sophos XG para distribuir ransomware en equipos con Windows. Por suerte fueron bloqueados gracias a una revisión emitida por Sophos. Ya sabemos que el ransomware es una de las amenazas más peligrosas y también presentes en la red y que tiene como objetivo cifrar los archivos de los usuarios y posteriormente pedir un rescate económico para poder recuperarlos.

Este hecho tuvo lugar concretamente a finales de abril. Los piratas informáticos utilizaron una vulnerabilidad de inyección SQL de día cero que conduce a la ejecución remota de código en los firewalls Sophos XG.

Los atacantes utilizaron esta vulnerabilidad para poder instalar varios archivos binarios y scripts que Sophos denomina troyano Asnarök. Este troyano se utilizó para robar datos del firewall y esto podría haber permitido a los atacantes comprometer la red de forma remota.

Dentro de los datos podemos mencionar la licencia del firewall, número de serie, una lista de direcciones de correo electrónico de las cuentas de usuario que se almacenaron en el equipo, la dirección principal a la que pertenece la cuenta de administrador, los nombres de usuario, la forma cifrada de las contraseñas y el hash SHA256 de la cuenta de administrador, una lista de los ID de usuario que pueden utilizar el firewall y las cuentas que tienen permiso para utilizar una conexión VPN sin cliente.

Informe de Sophos sobre el ransomware en 2018

Sophos lanzó una revisión de los firewall

Una vez desde Sophos detectaron estos ataques lanzaron rápidamente una revisión de los firewall. De esta forma cerraron rápidamente la inyección SQL y eliminaron así los scripts maliciosos.

Sin embargo, en un nuevo informe emitido por Sophos, podemos ver que solo unas horas después de que lanzara su revisión, los atacantes revisaron su ataque para distribuir el ransomware Ragnarok  en equipos Windows sin parches en la red.

En primer lugar comenzaron a alterar sus scripts en firewalls pirateados para activar un ataque de ransomware en un momento posterior si se eliminaba un archivo en particular y se reiniciaba el dispositivo.

Por suerte la revisión de Sophos frustró este ataque al eliminar los componentes necesarios sin necesidad de reiniciar el firewall, lo que llevó a los atacantes a alterar sus planes una vez más.

Hay que tener en cuenta que Ragnarok es un ransomware dirigido a objetivos empresariales. Se basa en vulnerabilidades que hay en el sistema, fallos sin corregir. Concretamente para implementar el ransomware planearon la ejecución remota de código de EternalBlue y las vulnerabilidades de DoublePulsar CIA. Una vez más se demuestra la gran importancia de tener los últimos parches instalados correctamente.

Os dejamos un artículo donde explicamos cómo buscar vulnerabilidades de red en Windows.