黑客正在利用Sophos防火墙的零日漏洞进行攻击

finlay

网络安全公司Sophos在周六发布了紧急安全更新，对其XG企业级防火墙产品中的一个零日漏洞进行了补丁，该漏洞被黑客疯狂滥用。

Sophos表示，在周三（4月22日）晚些时候，Sophos在收到一位客户的报告后，首次得知了零日漏洞。该客户报告称，在管理界面上看到 "一个可疑的字段值可见"。

在对报告进行调查后，Sophos确定这是一次主动攻击，而不是其产品中的错误。

黑客滥用SQL注入漏洞窃取密码

"这次攻击利用了一个之前未知的SQL注入漏洞来访问暴露的XG设备，"Sophos在今天的安全公告中表示。

黑客攻击的目标是Sophos XG Firewall设备，这些设备的管理(HTTPS服务)或用户门户控制面板都暴露在互联网上。

Sophos表示，黑客利用SQL注入漏洞在设备上下载了一个有效载荷。这个有效载荷然后从XG防火墙上窃取了文件。

被盗取的数据可能包括防火墙设备管理员、防火墙门户管理员的用户名和散列密码，以及用于远程访问设备的用户账户。

Sophos表示，客户的其他外部验证系统（如AD或LDAP）的密码不受影响。

该公司表示，在调查过程中，没有发现任何证据表明黑客利用窃取的密码访问XG防火墙设备或防火墙以外的任何东西，在客户的内部网络上。

补丁已经推送到客户设备上

这家以防病毒产品著称的英国公司表示，它准备并已经推送了一个自动更新，对所有启用了自动更新功能的XG防火墙进行补丁。

"这个热补丁程序消除了SQL注入漏洞，阻止了进一步的利用，阻止了XG防火墙访问任何攻击者的基础设施，并清理了攻击的任何残余，"它说。

此次安全更新还将在XG Firewall控制面板中添加一个特殊的方框，让设备所有者知道他们的设备是否已经被入侵。



对于设备被黑客入侵的公司，Sophos建议采取一系列步骤，其中包括密码重置和设备重启：

    1、重置门户管理员和设备管理员账户
    2、重新启动XG设备
    3、重设所有本地用户账户的密码
    4、虽然密码是经过散列的，但建议对任何可能被重复使用XG凭证的账户进行密码重置。

Sophos 还建议企业在不需要该功能的情况下，禁用防火墙面向互联网端口的管理界面。有关禁用广域网接口上的控制面板的说明，请点击此处。