Google a découvert une nouvelle porte dérobée dans les équipements réseau de SonicWall que les attaquants utilisent pour accéder à des données sensibles.
Les pare-feu de SonicWall sont à nouveau sous le feu. L’équipe de sécurité de Google a découvert une porte dérobée et en donne une description détaillée dans un blog. La porte dérobée vise spécifiquement les appareils SonicWall de la série SMA 100 et pourrait être la conséquence de vulnérabilités antérieures dans les pare-feu du fabricant.
Il est remarquable que les appareils touchés étaient entièrement corrigés. Les attaquants ont réussi à s’introduire avec des identifiants de connexion volés précédemment et des « graines de mot de passe » à usage unique. Bien que le vecteur d’infection initial soit difficile à retracer, l’équipe de sécurité de Google soupçonne que les attaquants ont exploité des vulnérabilités connues dans les systèmes.
Overstep
Dans cette nouvelle vague d’attaques, une porte dérobée encore inconnue, désignée sous le nom d’Overstep, est installée. Cette porte dérobée apporte des modifications au processus de démarrage des appareils touchés, ce qui assure un accès persistant, le vol de données sensibles et la dissimulation de la présence du malware.
L’objectif principal de la porte dérobée est d’établir un shell inversé. Cela permet aux attaquants d’exécuter des commandes à distance et d’exfiltrer des données, comme des mots de passe et des certificats.
Le malware se rend invisible aux méthodes de détection traditionnelles. Il utilise des fonctions système standard pour la gestion des fichiers et se cache dans les fichiers système et les fichiers de log. Le malware peut également être utilisé pour exécuter des commandes comme l’ouverture d’un shell inversé ou l’exfiltration d’identifiants de connexion stockés.
Recommandations
Google conseille aux organisations qui utilisent des appareils SonicWall de la série SMA 100 de changer immédiatement tous les identifiants de connexion pour éviter une compromission supplémentaire. Cette attaque souligne l’importance des correctifs de sécurité en temps opportun et de la surveillance active des activités réseau inhabituelles et des tentatives d’accès non autorisées.
Il est également important de rechercher des fichiers suspects ou des configurations système modifiées. Si des traces de compromission sont établies, le système touché doit être immédiatement isolé pour éviter des dommages supplémentaires.