黑客正在利用Sophos防火墙的零日漏洞进行攻击
网络安全公司Sophos在周六发布了紧急安全更新,对其XG企业级防火墙产品中的一个零日漏洞进行了补丁,该漏洞被黑客疯狂滥用。Sophos表示,在周三(4月22日)晚些时候,Sophos在收到一位客户的报告后,首次得知了零日漏洞。该客户报告称,在管理界面上看到 "一个可疑的字段值可见"。
在对报告进行调查后,Sophos确定这是一次主动攻击,而不是其产品中的错误。
黑客滥用SQL注入漏洞窃取密码
"这次攻击利用了一个之前未知的SQL注入漏洞来访问暴露的XG设备,"Sophos在今天的安全公告中表示。
黑客攻击的目标是Sophos XG Firewall设备,这些设备的管理(HTTPS服务)或用户门户控制面板都暴露在互联网上。
Sophos表示,黑客利用SQL注入漏洞在设备上下载了一个有效载荷。这个有效载荷然后从XG防火墙上窃取了文件。
被盗取的数据可能包括防火墙设备管理员、防火墙门户管理员的用户名和散列密码,以及用于远程访问设备的用户账户。
Sophos表示,客户的其他外部验证系统(如AD或LDAP)的密码不受影响。
该公司表示,在调查过程中,没有发现任何证据表明黑客利用窃取的密码访问XG防火墙设备或防火墙以外的任何东西,在客户的内部网络上。
补丁已经推送到客户设备上
这家以防病毒产品著称的英国公司表示,它准备并已经推送了一个自动更新,对所有启用了自动更新功能的XG防火墙进行补丁。
"这个热补丁程序消除了SQL注入漏洞,阻止了进一步的利用,阻止了XG防火墙访问任何攻击者的基础设施,并清理了攻击的任何残余,"它说。
此次安全更新还将在XG Firewall控制面板中添加一个特殊的方框,让设备所有者知道他们的设备是否已经被入侵。
https://zdnet1.cbsistatic.com/hub/i/2020/04/26/da14246b-5150-4e29-a180-7f2323327c09/sophos-xg-alert.png
对于设备被黑客入侵的公司,Sophos建议采取一系列步骤,其中包括密码重置和设备重启:
1、重置门户管理员和设备管理员账户
2、重新启动XG设备
3、重设所有本地用户账户的密码
4、虽然密码是经过散列的,但建议对任何可能被重复使用XG凭证的账户进行密码重置。
Sophos 还建议企业在不需要该功能的情况下,禁用防火墙面向互联网端口的管理界面。有关禁用广域网接口上的控制面板的说明,请点击此处。
页:
[1]