Come LECS supporta sistemi firewall

SonicWall SMA 100 Vulns

CVE-ID CVE-2021-20039
CVSS  9
Exploitation vector Network 

Alcuni firewall SonicWall della serie 100 con firwmare < 10.2.1.2-24sv , firmware < 10.2.0.8-37sv  e firmware < 9.0.0.11-31sv sono soggetti a vulnerabilità di tipo “iniezione di codice” che comporterebbe una grave violazione del perimetro.
Questo può potenzialmente portare l’attaccante autenticato in remoto a prendere il controllo dell’ appliance SMA 100.

Dettagli approfonditi:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-20038

Il sistema LECS, controllando il traffico di rete in real-time attua tutte le contromisure necessarie ad impedire che un cracker possa prendere il controllo del firewall qualora il firmware risultasse non ancora aggiornato alle versioni nuove.

Apache Spark Exploit (Apache Log4j component)

“Apache Spark è un framework open source per il calcolo distribuito sviluppato dall’AMPlab della Università della California e successivamente donato alla Apache Software Foundation.” – Wikipedia

Classificazione:

CVE-ID CVE-2021-20039
CVSS 9
Exploitation vector Network

Log4shell porta con se un numero elevato exploit “correlati”.
Nello specifico questo exploit, di tipo RCEn (remote code execution) purtoppo ad oggi non ha ancora una patch specifica, pertanto è necessario monitorare costantemente il servizio.

Il framework LECS riconosce i tentativi di sfruttamento di questa pericolosa variante di minaccia impedendo e bloccando la minaccia.

New Lazarus APT IOC

LECS riconosce svariati IOC basati su IP di connessioni remote verso server C2.

“Lazarus Group (also known by other monikers such as Guardians of Peace or Whois Team[1][2][3]) is a cybercrime group made up of an unknown number of individuals run by the North Korean state.” – Wikipedia

 

Il sistema reputazionele di LECS basato su IOC sicuri, permette di evitare data-breach o avere la rete sotto scacco dell’attaccante, bloccando le connessioni verso server di C2.

 

LECS SOC Team