Sophos выпускает экстренное исправление для исправления ошибки, связанной с SQL-инъекцией, в дикой природе, влияющей на продукт XG Firewall
Фирма по кибербезопасности Sophos опубликовала в субботу экстренное обновление для системы безопасности, чтобы исправить уязвимость нулевого дня в своем продукте корпоративного брандмауэра XG, который хакеры использовали в дикой природе.
Sophos сообщил, что впервые узнал о нулевом дне в конце среды, 22 апреля, после того, как получил отчет от одного из своих клиентов. Клиент сообщил, что видел «подозрительное значение поля, видимое в интерфейсе управления».
Изучив отчет, Sophos установил, что это активная атака, а не ошибка в ее продукте.
ХАКЕРЫ ЗЛОУПОТРЕБИЛИ ОШИБКОЙ SQL-ИНЪЕКЦИИ ДЛЯ КРАЖИ ПАРОЛЕЙ
«Атака использовала ранее неизвестную уязвимость SQL-инъекции для получения доступа к незащищенным устройствам XG», - сказал сегодня Sophos в сообщении по безопасности .
Хакеры предназначались для устройств Sophos XG Firewall, администрирование которых (служба HTTPS) или панель управления пользовательского портала были доступны в Интернете.
Софос сказал, что хакеры использовали уязвимость SQL-инъекции для загрузки полезной нагрузки на устройство. Эта полезная нагрузка затем украла файлы из межсетевого экрана XG.
Украденные данные могут включать имена пользователей и хэшированные пароли для администратора устройства брандмауэра, для администраторов портала брандмауэра и учетные записи пользователей, используемые для удаленного доступа к устройству.
Sophos сказал, что пароли для других внешних систем аутентификации клиентов, таких как AD или LDAP, не пострадали.
Компания заявила, что в ходе расследования она не нашла никаких доказательств того, что хакеры использовали украденные пароли для доступа к устройствам XG Firewall или к чему-либо, кроме межсетевого экрана, во внутренних сетях своих клиентов.
ПАТЧ УЖЕ ПЕРЕДАН НА КЛИЕНТСКИЕ УСТРОЙСТВА
Британская компания, известная своим антивирусным продуктом, заявила, что она подготовила и уже предложила автоматическое обновление для исправления всех брандмауэров XG, у которых включена функция автообновления.
«Это исправление устранило уязвимость SQL-инъекций, которая препятствовала дальнейшей эксплуатации, остановила брандмауэр XG от доступа к любой инфраструктуре злоумышленника и очистила все остатки от атаки», - говорится в сообщении.
Обновление для системы безопасности также добавит специальное поле на панели управления XG Firewall, чтобы владельцы устройств знали, было ли взломано их устройство.
Для компаний, которые взломали устройства, Sophos рекомендует выполнить ряд шагов, которые включают сброс пароля и перезагрузку устройства:
- Сбросить учетные записи администратора портала и устройства
- Перезагрузите устройства XG
- Сбросить пароли для всех локальных учетных записей пользователей
- Несмотря на то, что пароли были хэшированы, рекомендуется сбрасывать пароли для всех учетных записей, где учетные данные XG могли быть повторно использованы
Sophos также рекомендует компаниям отключать интерфейсы администрирования брандмауэра на выходящих в Интернет портах, если им не нужна эта функция.