Zugriff durch Firmware-Updates
Ungepatchte SonicWall-Geräte werden zur Gefahr
Foto: Tapati Rinchumrus - shutterstock.com
Eine hartnäckige Malware, die auf ungepatchte SonicWall Secure Mobile Access (SMA) Appliances abzielt, steht offenbar im Zusammenhang mit einer chinesischen Kampagne aus dem Jahr 2021. Das ergab eine Untersuchung von Mandiant, die in Zusammenarbeit mit dem internen Forschungsteam von SonicWall durchgeführt wurde. Die Malware mit der Bezeichnung "UNC4540" stiehlt Benutzeranmeldeinformationen, ermöglich Zugriff auf die Shell und bleibt auch nach Aktualisierung der Firmware aktiv. Da es sich bei dem Exploit um keine neue Sicherheitslücke in den SonicWall-Produkten handelt, se auch kein neuer Patch veröffentlicht worden, erklärt ein Sprecher von Mandiant. "Die Ergebnisse basieren auf der Analyse einer extrem begrenzten Anzahl von ungepatchten Appliances der SMA-100-Serie aus dem Jahr 2021." Dennoch hat SonicWall vergangene Woche das Firmware-Update 10.2.1.17 als Wartungsversion veröffentlicht.
Lesetipp: Diese Schwachstellen sollten Sie sofort patchen
Wiederkehrende Angriffsmuster
Bei der SMA-Serie handelt es sich um eine Reihe von Sicherheits-Appliances, die von SonicWall entwickelt und hergestellt werden. Sie ermöglichen Mitarbeitern, Auftragnehmern und Partnern den Fernzugriff auf Unternehmensnetzwerke, Cloud-Anwendungen und andere Ressourcen. Bei den Cyberangriffen, die Fehler in der Software ausnutzen, haben die Experten von Mandiant Übereinstimmungen mit Angriffen vom April 2021 entdeckt: Chinesische Angreifer setzten damals zahlreiche Zero Day Exploits sowie Malware ein, um sich über verschiedene Netzwerk-Appliances mit Internetanschluss vollständigen Zugang zu Unternehmenssystemen zu verschaffen. Damals wurden VPN-Appliances des Herstellers Pulse Secure durch Umgehung der Authentifizierung kompromittiert.
Bereits im März 2021 hatte Mandiant drei Zero-Day-Schwachstellen entdeckt, die aktiv in der E-Mail-Security-Lösung von SonicWall ausgenutzt worden waren. Sie seien ein Hinweis darauf, dass Cyberkriminelle es geschafft hätten, sich dauerhaft im System des Herstellers aufzuhalten, hieß es damals. Normalerweise erlauben Hersteller den Benutzern keinen direkten Zugriff auf das Betriebssystem oder das Dateisystem. Stattdessen stellen sie den Administratoren eine grafische Benutzeroberfläche oder eine eingeschränkte Befehlszeilenschnittstelle zur Verfügung, um so eine versehentliche Beschädigung des Systems zu verhindern. Aufgrund des eingeschränkten Zugriffs investieren chinesische Angreifer erhebliche Ressourcen und Anstrengungen, um Exploits und Malware für verwaltete Geräte zu entwickeln, heißt es im Blogbeitrag von Mandiant.
Jetzt kostenlos für den CSO-Newsletter anmelden
Malware stiehlt Anmeldedaten
Der Haupteinstiegspunkt der Malware ist ein Bash-Skript namens "firewalld", das im Wesentlichen einen SQL-Befehl ausführt, um Anmeldeinformationen zu stehlen. firewalld wird verwendet, um die TinyShell-Backdoor zu initiieren - einen Hack für den Fernzugriff über ein PHP-Skript, der es den Angreifern ermöglicht, beliebige SQL-Befehle auszuführen und verschiedene bösartige Aktivitäten durchzuführen.
Eine TinyShell-Backdoor wird in der Regel durch das Ausnutzen von Schwachstellen in Webanwendungen oder durch Brute-Force-Angriffe installiert. Sobald sich der Angreifer Zugang zum Webserver verschafft hat, kann er das TinyShell-Skript hochladen und ausführen, um sich Fernzugriff zu verschaffen.
Der Hauptzweck der Malware UNC4540 besteht darin, gehashte Anmeldedaten von angemeldeten Benutzern zu stehlen, indem der SQL-Befehl "select userName, password from Sessions" ausgeführt wird. Dieser Befehl zielt auf die Sitzungsinformationen mit gehashten Anmeldedaten in der Quelldatenbank ab, die von der ungepatchten Appliance verwaltet wird.
Lesetipp: Neue Variante der IceFire-Ransomware zielt auf Linux-Systeme
Langlebigkeit und Stabilität
Die Angreifer haben sich in erster Linie auf die Stabilität und Persistenz ihrer Tools konzentriert, indem sie den Zugriff auf das Netzwerk durch Firmware-Updates ermöglichen und ihre Präsenz im Netzwerk über das SonicWall-Gerät aufrechterhalten. Bei ihren Untersuchungen haben die Sicherheitsforscher eine modifizierte Kopie von firewalld namens "iptabled" gefunden. Diese dient offenbar dazu, den Hauptprozess der Malware im Falle eines Absturzes des Geräts aufrechtzuerhalten. "Die beiden Skripte waren so konfiguriert, dass sie das jeweils andere Skript aufriefen, wenn es nicht lief, so dass eine Backup-Instanz des Haupt-Malware-Prozesses zur Verfügung stand und somit eine zusätzliche Ausfallsicherheit gegeben war", heißt es in dem Blog.
Damit sie ihren Zugriff durch Firmware-Updates aufrechterhalten können, haben die Angreifer ein weiteres Verfahren entwickelt: Sie verwenden ein Bash-Skript namens "geoBotnetd", das regelmäßig nach Firmware-Aktualisierungen sucht, um das Malware-Paket bei jedem gefundenen Update zu laden.
Lesetipp: Emotet kehrt zurück
Patchen nicht vergessen!
Um das Risiko einer Ausnutzung von Sicherheitslücken zu verringern, ist - wie so oft - ein gutes Patch-Management von größter Bedeutung. SonicWall rät Kunden, die SMA 100 im Einsatz haben, ihre Software auf Version 10.2.1.7 oder höher zu aktualisieren. Diese Version enthält Verbesserungen der Software, wie die Funktion File Integrity Monitoring und die Möglichkeit zur Identifizierung ungewöhnlicher Prozesse.
Da es schwierig sei, betroffene Geräte zu erkennen, empfehlen die Sicherheitsexperten, alle zugänglichen Protokolle auf indirekte Hinweise einer Sicherheitsverletzung zu analysieren. Dazu gehören laut Mandiant ungewöhnliche Logins oder auffällige interne Netzwerkaktivitäten. (ms)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.