Novità

Asnarok: il malware che sfrutta le vulnerabilità Sophos  

Il malware Asnarok è una minaccia informatica complessa che ha sfruttato vulnerabilità nei firewall Sophos XG, in particolare attraverso tecniche come il remote code execution e il SQL injection. Questo attacco ha avuto un forte impatto su aziende e organizzazioni, compromettendo non solo la sicurezza delle reti aziendali ma anche la riservatezza dei dati.

Malware Asnarok in un sistema

3 Dicembre 2024

Indice dei contenuti

  • Asnarok: un attacco avanzato ai firewall Sophos 
  • Come funziona il malware Asnarok 
  • L’uso dei dati compromessi e l’accesso remoto 
  • Protezione e mitigazione contro il malware Asnarok 

Il malware Asnarok è una minaccia informatica complessa che ha sfruttato vulnerabilità nei firewall Sophos XG, in particolare attraverso tecniche come il remote code execution e il SQL injection

Questo attacco ha avuto un forte impatto su aziende e organizzazioni, compromettendo non solo la sicurezza delle reti aziendali ma anche la riservatezza dei dati. 

Asnarok: un attacco avanzato ai firewall Sophos 

Sfruttando queste debolezze, Asnarok è riuscito a penetrare nei sistemi per estrarre informazioni sensibili, come IP address, user ids e altre informazioni essenziali per la gestione delle reti. 

L’obiettivo principale di Asnarok era compromettere i firewall Sophos, specialmente quelli che avevano attivato l’HTTPS admin service o abilitato gli aggiornamenti automatici.

Questo malware ha dimostrato come anche i dispositivi di sicurezza più avanzati possano diventare bersagli, esponendo le aziende a gravi rischi di violazione. 

Come funziona il malware Asnarok 

Asnarok sfrutta una SQL injection vulnerability presente nei Sophos XG firewalls per ottenere un accesso iniziale. Questo tipo di attacco permette di inserire comandi malevoli in tabelle di database, bypassando le normali procedure di sicurezza.

Una volta penetrato nel sistema, il malware inserisce un comando all’interno di una tabella, utilizzando una tecnica che viene definita “inserire un comando in una riga di tabella del database”.

Questo primo passo consente al malware di stabilire una presenza nei sistemi target e di eseguire una serie di azioni senza essere rilevato. 

Successivamente, Asnarok scarica uno script di installazione, un Linux shell script denominato “install.sh”, che viene eseguito per proseguire l’infezione. Il file viene depositato nella directory temporanea del sistema, noto come tmp directory

Questo script contiene una serie di istruzioni mirate, che portano all’esecuzione di un programma noto come Linux ELF.

Questo file ELF è essenzialmente un eseguibile per sistemi Linux e rappresenta il cuore dell’attacco, permettendo al malware di accedere a dati sensibili e di portare avanti una data theft aggressiva. 

L’uso dei dati compromessi e l’accesso remoto 

Una volta attivo, Asnarok raccoglie informazioni cruciali come license and serial number dei dispositivi compromessi, gli user ID degli utenti che hanno interagito con i firewall Sophos, e altri dati sensibili. 

Questa raccolta dati è facilitata da una funzione chiamata salted SHA-256 hash, che viene impiegata per assicurarsi che i dati raccolti siano protetti ma comunque utilizzabili in un attacco.

Una volta ottenuti questi dettagli, il malware è in grado di stabilire una connessione remota e di eseguire comandi direttamente sui sistemi compromessi attraverso il remote code execution

L’accesso remoto permette al malware di eseguire un’ampia serie di task sui firewall compromessi, come alterare impostazioni di sicurezza o disabilitare alcune funzioni di protezione.

Questo accesso prolungato e silenzioso consente ai criminali informatici di monitorare il traffico di rete, individuare altre vulnerabilità presenti nel sistema, ed eventualmente raccogliere ulteriori dati sensibili.

La natura persistente dell’attacco fa sì che i targeted systems restino vulnerabili per periodi prolungati, rendendo difficile il rilevamento da parte delle normali misure di sicurezza. 

SQL injection di Asnarok

Protezione e mitigazione contro il malware Asnarok 

Per difendersi da Asnarok, Sophos ha rilasciato aggiornamenti che correggono le vulnerabilità sfruttate dal malware.

È fondamentale per le aziende tenere automatic updates enabled per i propri sistemi, assicurandosi che i firewall siano costantemente protetti contro nuove minacce.

Sophos ha raccomandato inoltre agli amministratori di disabilitare il HTTPS admin service per ridurre i punti di ingresso del malware e di monitorare costantemente gli accessi ai sistemi per individuare attività sospette. 

Oltre agli aggiornamenti, è consigliato adottare protocolli di sicurezza avanzati, come monitorare attivamente le modifiche nei license and serial number e nei IP address associati ai dispositivi, oltre a verificare l’integrità di ogni SQL injection presente nelle configurazioni del firewall.

Queste precauzioni possono ridurre il rischio di attacchi come quello di Asnarok e garantire una maggiore sicurezza dei dati aziendali. 

Sophos ha inoltre messo a disposizione degli utenti una guida per verificare l’eventuale compromissione dei sistemi, suggerendo controlli specifici, come la ricerca di file insoliti scritti nella tmp directory o l’identificazione di eventuali Linux shell scripts che possono indicare la presenza del malware.

Implementare una strategia di sicurezza multilivello che includa controlli frequenti sui log di sistema e la revisione delle impostazioni di rete può essere decisivo nella prevenzione di attacchi come quello di Asnarok. 

Per concludere… 

Il malware Asnarok rappresenta un esempio sofisticato di attacco che sfrutta falle nei sistemi di sicurezza avanzati. 

La capacità del malware di compromettere i Sophos XG firewalls attraverso SQL injection e remote code execution evidenzia l’importanza di adottare una sicurezza proattiva e di mantenere aggiornati i dispositivi di protezione della rete. 

Le aziende devono essere consapevoli dei rischi associati ai dispositivi di sicurezza e adottare misure preventive per proteggere i propri dati e le proprie reti da attacchi simili. 

Domande e risposte 

  1. Cos’è il malware Asnarök?
    E’ un malware che sfrutta vulnerabilità nei firewall Sophos xg per eseguire attacchi di remote code execution e rubare dati sensibili. 
  2. Quali firewall sono colpiti da Asnarök?
    I firewall Sophos xg sono i principali dispositivi vulnerabili agli attacchi del malware Asnarok. 
  3. Come penetra Asnarok nei sistemi?
    Asnarok utilizza una vulnerabilità di SQL injection nei firewall Sophos per inserire comandi e stabilire un accesso remoto ai sistemi. 
  4. Cosa fa il file install.sh nel contesto di Asnarok?
    Il file install.sh è un Linux shell script usato da Asnarok per installare un programma malevolo sul sistema infetto. 
  5. Che tipo di dati ruba Asnarok?
    Il malware Asnarok estrae dati come user ids, license and serial numbers, e informazioni sensibili sulle reti. 
  6. Cos’è un salted SHA-256 hash e come viene usato?
    Un salted SHA-256 hash è un metodo di protezione dei dati; Asnarok lo usa per rendere sicuri i dati raccolti durante l’attacco. 
  7. Come si può prevenire un attacco di Asnarok?
    Attivare gli aggiornamenti automatici e disabilitare HTTPS admin service nei firewall Sophos xg aiuta a prevenire l’attacco di Asnarok. 
  8. Perché Asnarok sfrutta i firewall Sophos?
    I firewall Sophos sono obiettivi interessanti per via della loro ampia diffusione nelle aziende e della gestione di dati sensibili. 
  9. Quali sono le principali tecniche di attacco di Asnarok?
    Le principali tecniche includono SQL injection e remote code execution, utilizzate per eseguire comandi e rubare dati. 
  10. Cosa fare in caso di infezione da Asnarok?
    E’ necessario aggiornare immediatamente il firewall Sophos e contattare esperti di sicurezza per rimuovere il malware e verificare i danni subiti. 

54
To top