網(wǎng)絡(luò)安全公司Sophos在周末通知客戶��,該公司已修復了一個零日漏洞�,該漏洞已被利用來向XG Firewall設(shè)備傳遞惡意軟件。
Sophos表示����,在設(shè)備管理界面中發(fā)現(xiàn)可疑字段值后,它于4月22日了解到針對XG防火墻的攻擊�����。一項調(diào)查顯示�,攻擊者一直在利用以前未知的SQL注入漏洞來入侵暴露的物理和虛擬防火墻���。鎖定了多個客戶�。
據(jù)該公司稱����,攻擊的目標是具有管理服務(wù)或用戶門戶暴露在互聯(lián)網(wǎng)中的系統(tǒng)����。攻擊者顯然試圖利用安全漏洞下載惡意軟件����,從而使他們能夠從防火墻中竊取數(shù)據(jù)。
此數(shù)據(jù)可以包括本地設(shè)備管理員�,門戶網(wǎng)站管理員和為遠程訪問設(shè)置的用戶帳戶的用戶名和密碼哈希。該惡意軟件還可以訪問有關(guān)防火墻的信息��,存儲在設(shè)備上的帳戶的電子郵件地址以及有關(guān)IP地址分配權(quán)限的信息��。
“與外部身份驗證系統(tǒng)(例如AD或LDAP)關(guān)聯(lián)的密碼不受影響�����,” Sophos告訴客戶���。
攻擊開始后不久����,Sophos就開始采取措施����,并于4月25日推出了SFOS修補程序�����,該修補程序修補了SQL注入漏洞����。一旦應(yīng)用了此修補程序���,還將向用戶通知其防火墻是否已作為此次攻擊的一部分受到威脅�����。
Sophos在周日晚間發(fā)布的博客文章中透露�����,攻擊者利用SQL注入漏洞將單行命令插入防火墻數(shù)據(jù)庫。此命令導致受影響的設(shè)備從遠程服務(wù)器下載名為Install.sh的Linux Shell腳本����。然后,腳本執(zhí)行了更多的SQL命令��,并將更多的文件拖放到了虛擬文件系統(tǒng)上��。
攻擊中部署的其他腳本旨在確保設(shè)備重啟后的持久性并創(chuàng)建備份通道。
Sophos研究人員解釋說:“最初���,Install.sh腳本運行了許多Postgres SQL命令�����,以修改數(shù)據(jù)庫中某些表的值或?qū)⑦@些表歸零�,其中之一通常顯示設(shè)備本身的管理IP地址���������! “看來這是試圖掩蓋攻擊,但事與愿違:在某些設(shè)備上�,shell腳本的活動導致攻擊者自己注入的SQL命令行顯示在防火墻管理面板的用戶界面上。它顯示了一行shell命令�,而不是應(yīng)該顯示的地址���!
Sophos 將這起與Asnarok攻擊有關(guān)的惡意軟件稱為“惡意軟件”����,并將其歸因于“未知的對手”。
該公司解釋說:“使用一系列Linux shell腳本來執(zhí)行攻擊時�����,需要進行大量編排���,這些腳本最終下載了為防火墻操作系統(tǒng)編譯的ELF二進制可執(zhí)行惡意軟件������!
在它的最初版本咨詢�,Sophos稱,它沒有證據(jù)表明黑客訪問的有針對性的防火墻后面的本地網(wǎng)絡(luò)什么���,但沒有進一步的澄清以后刪除這句話��。隨后的博客文章確實說�����,沒有證據(jù)表明從防火墻收集的數(shù)據(jù)確實被泄露。
該網(wǎng)絡(luò)安全公司已經(jīng)發(fā)布了入侵指標(IoC)和有關(guān)攻擊的技術(shù)詳細信息�����。該公司表示,防火墻沒有受到威脅的客戶無需采取任何措施��。被告知其防火墻已成為攻擊目標的用戶將需要更改設(shè)備上的密碼�����。
經(jīng)營性網(wǎng)站備案信息
可信網(wǎng)站信用評價
網(wǎng)絡(luò)警察提醒您
誠信網(wǎng)站
中國互聯(lián)網(wǎng)舉報中心
網(wǎng)絡(luò)舉報APP下載
