安全播报

防御吧作为15年知名老牌域名服务商,CNNIC和CANN双认证域名注册商,已经
持续为500多万个域名提供服务,包括智能DNS/自由转移/隐私保护等服务!
通过零日漏洞将恶意软件传递到Sophos防火墙
2020-04-27 14:03:16 【

网络安全公司Sophos在周末通知客户,该公司已修复了一个零日漏洞,该漏洞已被利用来向XG Firewall设备传递恶意软件。

Sophos表示,在设备管理界面中发现可疑字段值后,它于4月22日了解到针对XG防火墙的攻击。一项调查显示,攻击者一直在利用以前未知的SQL注入漏洞来入侵暴露的物理和虚拟防火墙。锁定了多个客户。

据该公司称,攻击的目标是具有管理服务或用户门户暴露在互联网中的系统。攻击者显然试图利用安全漏洞下载恶意软件,从而使他们能够从防火墙中窃取数据。

此数据可以包括本地设备管理员,门户网站管理员和为远程访问设置的用户帐户的用户名和密码哈希。该恶意软件还可以访问有关防火墙的信息,存储在设备上的帐户的电子邮件地址以及有关IP地址分配权限的信息。

“与外部身份验证系统(例如AD或LDAP)关联的密码不受影响,” Sophos告诉客户。

攻击开始后不久,Sophos就开始采取措施,并于4月25日推出了SFOS修补程序,该修补程序修补了SQL注入漏洞。一旦应用了此修补程序,还将向用户通知其防火墙是否已作为此次攻击的一部分受到威胁。

Sophos在周日晚间发布的博客文章中透露,攻击者利用SQL注入漏洞将单行命令插入防火墙数据库。此命令导致受影响的设备从远程服务器下载名为Install.sh的Linux Shell脚本。然后,脚本执行了更多的SQL命令,并将更多的文件拖放到了虚拟文件系统上。

攻击中部署的其他脚本旨在确保设备重启后的持久性并创建备份通道。

Sophos研究人员解释说:“最初,Install.sh脚本运行了许多Postgres SQL命令,以修改数据库中某些表的值或将这些表归零,其中之一通常显示设备本身的管理IP地址。” “看来这是试图掩盖攻击,但事与愿违:在某些设备上,shell脚本的活动导致攻击者自己注入的SQL命令行显示在防火墙管理面板的用户界面上。它显示了一行shell命令,而不是应该显示的地址。”

Sophos 将这起与Asnarok攻击有关的恶意软件称为“恶意软件”,并将其归因于“未知的对手”。

该公司解释说:“使用一系列Linux shell脚本来执行攻击时,需要进行大量编排,这些脚本最终下载了为防火墙操作系统编译的ELF二进制可执行恶意软件。”

在它的最初版本咨询,Sophos称,它没有证据表明黑客访问的有针对性的防火墙后面的本地网络什么,但没有进一步的澄清以后删除这句话。随后的博客文章确实说,没有证据表明从防火墙收集的数据确实被泄露。

该网络安全公司已经发布了入侵指标(IoC)和有关攻击的技术详细信息。该公司表示,防火墙没有受到威胁的客户无需采取任何措施。被告知其防火墙已成为攻击目标的用户将需要更改设备上的密码。


】【打印关闭】 【返回顶部
分享到QQ空间
分享到: 
上一篇黑客ddos攻击除了利用肉鸡之外,.. 下一篇情报机构共享Web Shell检测技术

立足首都,辐射全球,防御吧专注云防御及云计算服务15年!

联系我们

服务热线:13051179500 18910191973
企业QQ:1245940436
技术支持:010-56159998
E-Mail:xihedata.com
Copyright ? 2003-2016 fangyuba. 防御吧(完美解决防御与加速) 版权所有 增值许可:京B2-20140042号
售前咨询
公司总机:18910191973
24小时电话:010-56159998
投诉电话:18910191973
值班售后/技术支持
售后服务/财务
备案专员
紧急电话:18610088800