Google heeft een nieuwe achterdeur ontdekt in de netwerkapparaten van SonicWall die aanvallers gebruiken om toegang te verkrijgen tot gevoelige gegevens.
De firewalls van SonicWall liggen opnieuw onder vuur. Het beveiligingsteam van Google ontdekte een achterdeur en geeft een gedetailleerde beschrijving in een blog. De achterdeur viseert specifiek SonicWall SMA 100-serie-apparaten en is mogelijk de nasleep van eerdere kwetsbaarheden in de firewalls van de fabrikant.
Opmerkelijk is dat de getroffen apparaten volledig gepatcht waren. De aanvallers geraakten binnen met eerder gestolen inloggegevens en eenmalige ‘wachtwoordzaadjes’. Hoewel de initiële infectievector moeilijk te achterhalen is, vermoedt het Google-beveiligingsteam dat de aanvallers misbruik hebben gemaakt van bekende kwetsbaarheden in de systemen.
Overstep
In deze nieuwe golf van aanvallen wordt een nog onbekende backdoor, aangeduid als Overstep, geïnstalleerd. Deze backdoor maakt aanpassingen aan het opstartproces van de getroffen apparaten, wat zorgt voor persistente toegang, het stelen van gevoelige gegevens en het verbergen van de aanwezigheid van de malware.
Het belangrijkste doel van de backdoor is het opzetten van een reverse shell. Daarmee kunnen de aanvallers op afstand commando’s uitvoeren en gegevens exfiltreren, zoals wachtwoorden en certificaten.
De malware maakt zichzelf onzichtbaar voor traditionele detectiemethoden. Het gebruikt standaard systeemfuncties voor bestandshantering en verbergt zichzelf in systeembestanden en logbestanden. De malware kan ook worden gebruikt om commando’s uit te voeren zoals het openen van een reverse shell of het exfiltreren van opgeslagen inloggegevens.
Aanbevelingen
Google adviseert organisaties die SonicWall SMA 100-serie-apparaten gebruiken om alle inloggegevens onmiddellijk te veranderen om verdere compromittering te voorkomen. Deze aanval benadrukt het belang van tijdige beveiligingspatches en actieve monitoring op ongebruikelijke netwerkactiviteit en ongeautoriseerde toegangspogingen.
Het is ook belangrijk om op zoek te gaan naar verdachte bestanden of gewijzigde systeemconfiguraties. Indien sporen van compromittering worden vastgesteld, moet het getroffen systeem onmiddellijk worden geïsoleerd om verdere schade te voorkomen.