网络安全公司Sophos于周六发布了紧急安全更新,以修补XG企业防火墙产品中的一个零日漏洞,该漏洞被黑客广泛滥用。
Sophos表示,在收到一位客户的报告后,它于4月22日(星期三)晚首次得知了零日漏洞。客户报告看到“在管理界面中可见的可疑字段值”。
在调查了报告之后,Sophos确定这是一次主动攻击,而不是产品错误。
黑客滥用SQL注入漏洞窃取密码
Sophos在安全通报中说:“该攻击使用一个以前未知的SQL注入漏洞来访问暴露的XG设备。”
黑客针对的是Sophos XG Firewall设备,这些设备的管理(HTTPS服务)或用户门户控制面板暴露在互联网上。
Sophos说,黑客利用SQL注入漏洞在设备上下载了有效负载。然后,此有效负载从XG防火墙窃取了文件。
被盗的数据可能包括防火墙设备管理员,防火墙门户网站管理员以及用于远程访问设备的用户帐户的用户名和哈希密码。
Sophos说,客户的其他外部身份验证系统(例如AD或LDAP)的密码不受影响。
该公司表示,在调查过程中,没有发现任何证据表明黑客使用盗窃的密码访问了客户内部网络上的XG防火墙设备或防火墙以外的任何内容。
补丁已推送到客户设备
这家以防病毒产品而闻名的英国公司表示,它已经准备并已经推动了自动更新,以修补所有启用了自动更新功能的XG防火墙。
它说:“此修补程序消除了SQL注入漏洞,该漏洞阻止了进一步的利用,阻止了XG防火墙访问任何攻击者的基础结构,并清除了攻击中的所有残余。”
该安全更新还将在XG Firewall控制面板中添加一个特殊框,以让设备所有者知道其设备是否受到威胁。

对于遭受设备入侵的公司,Sophos建议采取一系列步骤,包括密码重置和设备重启:
- 重置门户网站管理员和设备管理员帐户
- 重新启动XG设备
- 重置所有本地用户帐户的密码
- 尽管密码是哈希值,但建议为可能已重用XG凭据的所有帐户重设密码
Sophos还建议公司如果不需要该功能,请在面向Internet的端口上禁用防火墙的管理界面。此处提供了禁用WAN接口上的控制面板的说明。
相关文件
*编译:Domino
*来自:ZDNET