image

Malware maakt oude Symantec Web Gateways onderdeel van botnet

vrijdag 15 mei 2020, 09:46 door Redactie, 0 reacties

Een beveiligingsoplossing van Symantec die netwerken tegen aanvallen moet beschermen wordt actief door cybercriminelen aangevallen om vervolgens te worden toegevoegd aan een botnet. Dat laat securitybedrijf Palo Alto Networks weten. De Symantec Secure Web Gateway filtert netwerkverkeer op allerlei dreigingen en moet zo netwerkgebruikers beschermen.

Een kwetsbaarheid in versie 5.0.2.8 van de gateway maakt het mogelijk voor aanvallers om op afstand willekeurige code uit te voeren. Hiervoor moet de aanvaller wel eerst zijn geauthenticeerd. Daarnaast werd versie 5.0.2.8 in 2015 end-of-life en in 2019 end-of-support-life. Het beveiligingslek is niet aanwezig in versie 5.2.8 van de gateway.

Toch is de kwetsbaarheid voor aanvallers voldoende interessant om aan te vallen. Eind april zagen onderzoekers van Palo Alto Networks de eerste aanvallen waarbij het beveiligingslek werd gebruikt om kwetsbare gateways onderdeel van het Hoaxcall-botnet te maken. Besmette gateways kunnen vervolgens worden ingezet voor het uitvoeren van allerlei soorten ddos-aanvallen en het fungeren als proxy.

Tevens is de malware in staat om de Telnet-service op de gateway uit te schakelen. Dit wordt mogelijk gedaan om beheer van een besmet apparaat lastiger voor de beheerders te maken. Ook kan de malware de "watchdog timer" uitschakelen om reboots van de gateway te voorkomen.

Begin mei zagen de onderzoekers een tweede groep aanvallers die zich op de kwetsbare gateways richt. Dit keer werd er gebruik gemaakt van een variant van de bekende Mirai-malware om de apparaten te infecteren. In tegenstelling tot de eerdere aanval is deze malware niet in staat om besmette gateways voor ddos-aanvallen in te zetten, maar gebruikt ze om andere gateways via bruteforce-aanvallen en de eerder genoemde kwetsbaarheid over te nemen. Organisaties kunnen de aanvallen voorkomen door naar een nieuwere versie te upgraden.

Nog geen reacties
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.