Un pirate chinois a compromis 81 000 firewalls Sophos avec une seule faille zero-day
10 millions de dollars, c'est la somme que le gouvernement américain est prêt à offrir si vous détenez des informations sur Guan Tianfeng, un pirate chinois accusé d'avoir compromis environ 81 000 firewalls Sophos.
Les faits remontent à 2020, et pourtant, les États-Unis cherchent toujours à mettre la main sur Guan Tianfeng, également connu sous les noms de gbigmao et gxiaomao. Ce citoyen chinois est accusé d'avoir découvert une faille de sécurité zero-day et de l'avoir utilisée pour mener des attaques contre les appareils Sophos.
La faille de sécurité zero-day en question est associée à la référence CVE-2020-12271 et a un score CVSS de 9,8 sur 10. Il s'agit d'une vulnérabilité critique correspondant à une injection SQL. En l'exploitant, un pirate peut exécuter du code à distance sur l'appareil pris pour cible. Plusieurs versions de SFOS, le système utilisé par les firewalls Sophos XG, étaient vulnérables à cette faille de sécurité : 17.0, 17.1, 17.5, et 18.0. Un correctif est déjà disponible depuis 2020.
"Au total, Guan et ses complices ont infecté environ 81 000 pare-feu dans le monde, y compris un pare-feu utilisé par une agence des États-Unis.", peut-on lire dans le communiqué de presse du département de la Justice américain. Un malware aurait d'ailleurs exploité la faille de sécurité découverte par Guan Tianfeng dans le but de voler des informations sur les ordinateurs infectés et de chiffrer les fichiers.
10 millions de dollars de récompense
Un mandat d'arrêt fédéral a été délivré à l'encontre de Tianfeng par plusieurs districts des États-Unis. La justice américaine pense qu'il réside actuellement dans la province du Sichuan, en Chine. Pour localiser Guan Tianfeng et ses complices, les États-Unis sont prêts à offrir une récompense pouvant atteindre 10 millions de dollars en l'échange de renseignements.
"Le département d'État américain a également annoncé aujourd'hui des récompenses pouvant aller jusqu'à 10 millions de dollars pour toute information permettant d'identifier ou de localiser Guan ou toute personne qui, agissant sous la direction ou le contrôle d'un gouvernement étranger, se livre à certaines cyberactivités malveillantes contre les infrastructures critiques américaines.", précise le communiqué de presse.