黑客们正在利用Sophos防火墙的零日攻击

网络安全公司Sophos于周六发布了一份紧急安全更新，以修补其XG企业防火墙产品中的一个零日漏洞，该漏洞被黑客在野外滥用。

Sophos公司称，该公司是在4月22日(周三)晚些时候接到一名顾客的举报后才得知这个零日的。客户报告说看到“一个可疑的字段值在管理界面中可见”。

经过对报告的调查，Sophos断定这是一次主动攻击，而不是产品错误。

Sophos今天在一份安全报告中说:“这次攻击使用了一个以前不为人知的SQL注入漏洞来访问被暴露的XG设备。”

黑客的目标是Sophos XG防火墙设备，这些设备的管理(HTTPS服务)或用户门户控制面板暴露在internet上。

Sophos表示，黑客利用SQL注入漏洞在设备上下载了一个有效载荷。然后，这个有效负载从XG防火墙偷取文件。

被盗的数据可能包括防火墙设备管理员的用户名和散列密码、防火墙门户管理员的用户名和散列密码，以及用于远程访问设备的用户帐户。它还包括防火墙的许可证和序列号，以及用户的电子邮件。

Sophos表示，客户的其他外部认证系统，如AD或LDAP的密码没有受到影响。

该公司表示，在调查期间，没有发现任何证据表明黑客使用窃取的密码来访问XG防火墙设备或防火墙以外的任何东西，进入其客户的内部网络。Sophos研究人员将这种恶意软件命名为Asnarok。一个详细的，一步一步的分析恶意软件的特点和工作方式发表在这里。

这家以杀毒产品闻名的英国公司表示，它准备并已经推出了一项自动更新，以修补所有启用自动更新功能的XG防火墙。

“这个修补程序消除了阻止进一步利用的SQL注入漏洞，阻止了XG防火墙访问任何攻击者的基础设施，并清除了攻击的任何残余，”它说。