{"id":207013,"date":"2022-06-17T08:52:21","date_gmt":"2022-06-17T10:52:21","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-ont-exploite-la-faille-zero-day-de-sophos-firewall-pour-cibler-une-entite-sud-asiatique\/"},"modified":"2022-06-17T08:52:22","modified_gmt":"2022-06-17T10:52:22","slug":"des-pirates-chinois-ont-exploite-la-faille-zero-day-de-sophos-firewall-pour-cibler-une-entite-sud-asiatique","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-pirates-chinois-ont-exploite-la-faille-zero-day-de-sophos-firewall-pour-cibler-une-entite-sud-asiatique\/","title":{"rendered":"Des pirates chinois ont exploit\u00e9 la faille Zero Day de Sophos Firewall pour cibler une entit\u00e9 sud-asiatique"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both\"><\/div>\n<p>Un acteur chinois sophistiqu\u00e9 de la menace persistante avanc\u00e9e (APT) a exploit\u00e9 une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique dans le pare-feu de Sophos qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e plus t\u00f4t cette ann\u00e9e pour infiltrer une cible sud-asiatique anonyme dans le cadre d&#8217;une attaque tr\u00e8s cibl\u00e9e.<\/p>\n<p>&#8220;L&#8217;attaquant met en \u0153uvre[ed] une porte d\u00e9rob\u00e9e Web Shell int\u00e9ressante, cr\u00e9er[d] une forme secondaire de persistance, et finalement lancer[ed] attaques contre le personnel du client,&#8221; Volexity <a rel=\"nofollow noopener\" href=\"https:\/\/www.volexity.com\/blog\/2022\/06\/15\/driftingcloud-zero-day-sophos-firewall-exploitation-and-an-insidious-breach\/\" target=\"_blank\">a dit<\/a> dans un rapport.  &#8220;Ces attaques visaient \u00e0 violer davantage les serveurs Web h\u00e9berg\u00e9s dans le cloud h\u00e9bergeant les sites Web publics de l&#8217;organisation.&#8221;<\/p>\n<p>La faille zero-day en question est identifi\u00e9e comme CVE-2022-1040 (score CVSS\u00a0: 9,8) et concerne une vuln\u00e9rabilit\u00e9 de contournement d&#8217;authentification qui peut \u00eatre arm\u00e9e pour ex\u00e9cuter du code arbitraire \u00e0 distance.  Cela affecte les versions 18.5 MR3 (18.5.3) et ant\u00e9rieures de Sophos Firewall.<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/backup-github\" target=\"_blank\" title=\"DevOps backup\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/05\/Arret-de-loperation-Conti-Ransomware-apres-la-division-en-groupes.png\" width=\"300\" height=\"250\" \/><\/a><\/div>\n<p>La soci\u00e9t\u00e9 de cybers\u00e9curit\u00e9, qui a publi\u00e9 un correctif pour la faille le 25 mars 2022, a not\u00e9 qu&#8217;elle avait \u00e9t\u00e9 utilis\u00e9e abusivement pour \u00ab cibler un petit ensemble d&#8217;organisations sp\u00e9cifiques principalement dans la r\u00e9gion de l&#8217;Asie du Sud \u00bb et qu&#8217;elle avait directement inform\u00e9 les entit\u00e9s concern\u00e9es.<\/p>\n<p>Selon Volexity, les premi\u00e8res preuves de l&#8217;exploitation de la faille ont commenc\u00e9 le 5 mars 2022, lorsqu&#8217;il a d\u00e9tect\u00e9 une activit\u00e9 r\u00e9seau anormale provenant du pare-feu Sophos d&#8217;un client anonyme ex\u00e9cutant la version alors \u00e0 jour, pr\u00e8s de trois semaines avant la divulgation publique de la vuln\u00e9rabilit\u00e9.<\/p>\n<p>&#8220;L&#8217;attaquant utilisait l&#8217;acc\u00e8s au pare-feu pour mener des attaques de type &#8220;man-in-the-middle&#8221; (MitM)&#8221;, ont d\u00e9clar\u00e9 les chercheurs.  &#8220;L&#8217;attaquant a utilis\u00e9 les donn\u00e9es collect\u00e9es lors de ces attaques MitM pour compromettre des syst\u00e8mes suppl\u00e9mentaires en dehors du r\u00e9seau o\u00f9 r\u00e9sidait le pare-feu.&#8221;<\/p>\n<div class=\"separator\" style=\"clear: both\"><img decoding=\"async\" alt=\"\" border=\"0\" data-original-height=\"498\" data-original-width=\"728\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2022\/06\/1655463141_19_Des-pirates-chinois-ont-exploite-la-faille-Zero-Day-de.jpg\" \/><\/div>\n<p>La s\u00e9quence d&#8217;infection apr\u00e8s la violation du pare-feu impliquait en outre la porte d\u00e9rob\u00e9e d&#8217;un composant l\u00e9gitime du logiciel de s\u00e9curit\u00e9 avec le <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/Freakboy\/Behinder\" target=\"_blank\">Derri\u00e8re<\/a> shell Web accessible \u00e0 distance \u00e0 partir de n&#8217;importe quelle URL choisie par l&#8217;auteur de la menace.<\/p>\n<p>Il convient de noter que le shell Web Behinder a \u00e9galement \u00e9t\u00e9 exploit\u00e9 plus t\u00f4t ce mois-ci par des groupes APT chinois dans un ensemble distinct d&#8217;intrusions exploitant une faille zero-day dans les syst\u00e8mes Atlassian Confluence Server (CVE-2022-26134).<\/p>\n<div class=\"ad_two clear\"><a rel=\"nofollow noopener\" href=\"https:\/\/go.thn.li\/crowdsec-tour-d\" target=\"_blank\" title=\"CyberSecurity\"><img loading=\"lazy\" decoding=\"async\" alt=\"La cyber-s\u00e9curit\u00e9\" class=\"lazyload\" src=\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEj6zHdXd3qpCksF0nkMkrjsOzaw-cxZGPHWoTEp9y7VPIeyPBFGsmIyIX8NTkqI1IDqnIXYnsZuIh4rc9f8TNUn7ndAZqtXc-t58X2oueTaL4Ijb4hgH-b183QvQ0ienXIipuOsqeLP5b8I2prKmp0RWvdZQgnKehVRKbqRQpin1JgfwlZeE_IB4EmesQ\/s1600\/crowdsec-728.jpg\" width=\"728\" height=\"90\" \/><\/a><\/div>\n<p>De plus, l&#8217;attaquant aurait cr\u00e9\u00e9 des comptes d&#8217;utilisateurs VPN pour faciliter l&#8217;acc\u00e8s \u00e0 distance, avant de passer \u00e0 la modification des r\u00e9ponses DNS pour des sites Web sp\u00e9cialement cibl\u00e9s &#8211; principalement le syst\u00e8me de gestion de contenu (CMS) de la victime &#8211; dans le but d&#8217;intercepter les informations d&#8217;identification des utilisateurs et les cookies de session.<\/p>\n<p>L&#8217;acc\u00e8s aux cookies de session a par la suite \u00e9quip\u00e9 le malveillant pour prendre le contr\u00f4le du site WordPress et installer un second shell web baptis\u00e9 <a rel=\"nofollow noopener\" href=\"https:\/\/zhuanlan.zhihu.com\/p\/354906657\" target=\"_blank\">GlaceScorpion<\/a>l&#8217;attaquant l&#8217;utilisant pour d\u00e9ployer trois implants open source sur le serveur Web, y compris <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/n1nj4sec\/pupy\" target=\"_blank\">PupyRAT<\/a>, <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/cassanof\/pantegana\" target=\"_blank\">Pantegana<\/a>et <a rel=\"nofollow noopener\" href=\"https:\/\/github.com\/BishopFox\/sliver\" target=\"_blank\">M\u00e8che<\/a>.<\/p>\n<p>&#8220;DriftingCloud est un acteur de menace efficace, bien \u00e9quip\u00e9 et persistant ciblant <a rel=\"nofollow noopener\" href=\"https:\/\/en.wikipedia.org\/wiki\/Five_Poisons\" target=\"_blank\">cinq-poisons<\/a>-cibles li\u00e9es.  Ils sont capables de d\u00e9velopper ou d&#8217;acheter des exploits zero-day pour atteindre leurs objectifs, faisant pencher la balance en leur faveur lorsqu&#8217;il s&#8217;agit d&#8217;acc\u00e9der aux r\u00e9seaux cibles.&#8221;<\/p>\n<p><\/p>\n<\/div>\n<p><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2022\/06\/chinese-hackers-exploited-sophos.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Un acteur chinois sophistiqu\u00e9 de la menace persistante avanc\u00e9e (APT) a exploit\u00e9 une vuln\u00e9rabilit\u00e9 de s\u00e9curit\u00e9 critique dans le pare-feu de Sophos qui a \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9e plus t\u00f4t cette ann\u00e9e pour infiltrer une cible sud-asiatique anonyme dans le cadre d&#8217;une attaque tr\u00e8s cibl\u00e9e. &#8220;L&#8217;attaquant met en \u0153uvre[ed] une porte d\u00e9rob\u00e9e Web Shell int\u00e9ressante, cr\u00e9er[d] une [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":207014,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[5663,11338,4168,4158,4165,4161,11648,133,79402,7727,9048,39087,4157,4159,4171,4170,4167,4160,4163,4162,249,4394,185,4172,4169,39086,47146,196,4166,4164],"class_list":["post-207013","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-chinois","tag-cibler","tag-comment-pirater","tag-cyber-actualites","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-day","tag-des","tag-entite","tag-exploite","tag-faille","tag-firewall","tag-lactualite-de-la-cybersecurite","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-la-securite-des-informations","tag-logiciel-malveillant-de-ransomware","tag-mises-a-jour-de-la-cybersecurite","tag-nouvelles-de-piratage","tag-nouvelles-de-pirates","tag-ont","tag-pirates","tag-pour","tag-securite-informatique","tag-securite-internet","tag-sophos","tag-sudasiatique","tag-une","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/207013","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=207013"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/207013\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/207014"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=207013"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=207013"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=207013"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}