Sophos防火墻0-day漏洞遭到黑客利用的示例分析

Sophos防火墻0-day漏洞遭到黑客利用的示例分析，相信很多沒(méi)有經(jīng)驗(yàn)的人對(duì)此束手無(wú)策，為此本文總結(jié)了問(wèn)題出現(xiàn)的原因和解決方法，通過(guò)這篇文章希望你能解決這個(gè)問(wèn)題。

網(wǎng)絡(luò)安全公司Sophos于4月25日發(fā)布緊急安全更新，修復(fù)該公司XG企業(yè)防火墻產(chǎn)品中的一個(gè)0-day漏洞，該漏洞已遭到黑客的利用。

Sophos表示，它在4月22日周三收到一份來(lái)自客戶的報(bào)告后，首次聽說(shuō)該0-day漏洞。該名客戶報(bào)告“在管理接口中看見一個(gè)可疑的字段值。”

對(duì)該報(bào)告進(jìn)行調(diào)查后，Sophos判定這是一次主動(dòng)攻擊，而不是其產(chǎn)品中的錯(cuò)誤。

根據(jù)Sophos發(fā)布的安全公告，攻擊者利用一個(gè)以前未知的SQL注入漏洞獲取了對(duì)暴露的XG設(shè)備的訪問(wèn)權(quán)限。

黑客針對(duì)管理（HTTPS服務(wù)）或用戶門戶控制面板暴露在互聯(lián)網(wǎng)上的SophosXG Firewall設(shè)備發(fā)起攻擊。

Sophos表示，黑客利用該SQL注入漏洞在該設(shè)備上下載一個(gè)payload，該payload則從XGFirewall中竊取文件。

被竊取的數(shù)據(jù)包括該防火墻設(shè)備管理員和防火墻門戶管理員的用戶名和哈希密碼，以及用于遠(yuǎn)程訪問(wèn)該設(shè)備的用戶賬戶。

Sophos表示，客戶其他的外部身份認(rèn)證系統(tǒng)的密碼，如AD或LDAP，未受影響。

該公司表示，在調(diào)查過(guò)程中，它沒(méi)有發(fā)現(xiàn)任何證據(jù)證明黑客使用竊取的密碼訪問(wèn)XG Firewall設(shè)備，或其客戶內(nèi)部網(wǎng)絡(luò)上的其他任何系統(tǒng)。

Sophos表示已經(jīng)推送一個(gè)自動(dòng)更新至所有啟用了自動(dòng)更新功能的XG Firewall，以修復(fù)該漏洞。

該熱補(bǔ)丁修復(fù)了該SQL注入漏洞，防止漏洞遭到進(jìn)一步利用，阻止XG Firewall訪問(wèn)攻擊者的任何基礎(chǔ)設(shè)施，并清除該攻擊的殘余部分。

該安全更新還在XG Firewall控制面板中添加了一處告警，讓設(shè)備所有者知道是否設(shè)備已遭到入侵。

對(duì)于設(shè)備已遭到入侵的公司，Sophos建議通過(guò)重置密碼和重啟設(shè)備等措施進(jìn)行補(bǔ)救。

1.   重置門戶管理員和設(shè)備管理員賬戶；

2.   重啟XG設(shè)備；

3.   重置所有本地用戶賬戶的密碼；

4.   雖然密碼已通過(guò)哈希加密，但仍建議重置任何可能再次使用XG憑據(jù)的賬戶的密碼；

如果用戶不需要防火墻的管理界面，Sophos同時(shí)建議用戶在面向互聯(lián)網(wǎng)的端口上禁用該特性。

看完上述內(nèi)容，你們掌握Sophos防火墻0-day漏洞遭到黑客利用的示例分析的方法了嗎？如果還想學(xué)到更多技能或想了解更多相關(guān)內(nèi)容，歡迎關(guān)注億速云行業(yè)資訊頻道，感謝各位的閱讀！