E安全4月28日讯,近日据外媒报道,网络安全公司Sophos于周六发布了紧急安全更新,以修补XG企业防火墙产品中的一个零日漏洞,该漏洞被已被黑客利用。据了解,黑客针对的是Sophos XG Firewall设备,由于这些设备的管理HTTPS服务或用户门户控制面板暴露在互联网上。
同时,Sophos在安全通报中表示,该零日漏洞攻击利用了一个未知的SQL注入漏洞来访问暴露的XG设备。黑客先利用SQL注入漏洞在设备上下载了有效负载,接着入侵者借助此有效负载从XG防火墙窃取了文件。据悉,被盗的数据可能包括防火墙设备管理员、防火墙门户网站管理员以及用于远程访问设备的用户帐户密码信息。
不过,Sophos表示,客户的其他外部身份验证系统(例如AD或LDAP)的密码不受影响。该公司还表示,目前调查没有发现任何证据表明黑客已经使用了窃取的密码来访问XG防火墙设备或防火墙以外的任何系统。
据悉,Sophos还表示,补丁已推送到客户设备,并已经推动了自动更新,他们准备修补所有启用了自动更新功能的XG防火墙。Sophos还称,此修补程序消除了SQL的注入漏洞,该修复阻止了黑客的进一步利用,并清除了攻击中的所有残余。同时,该安全更新还将在XG Firewall控制面板中添加一个特殊框,以让设备所有者知道其设备是否受到威胁。
对于遭受设备入侵的公司,Sophos建议采取一系列步骤,包括密码重置和设备重启:
重置门户网站管理员和设备管理员帐户
重新启动XG设备
重置所有本地用户帐户的密码
建议为可能已重用XG凭据的所有帐户重设密码