Hackerangriff per 0-day-Exploit auf Sophos Firewalls

[English]Hacker haben versucht, einen 0-day-Exploit in Sophos Firewalls für Angriffe auszunutzen. Der Hersteller hat aber fix mit einem Patch reagiert, so dass die Angriffe auf aktualisierten Systemen scheiterten.


Anzeige

Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden, welches ZDNet in diesem Beitrag aufbereitet hat.

Das betreffende Update für die Sophos Firewalls steht wohl seit vorige Woche (21.5.2020) zur Verfügung.

Angriffe bereits im April 2020

Die ursprünglichen Angriffe fanden zwischen dem 22. und 26. April statt. In einem seinerzeit veröffentlichten Bericht sagte Sophos, dass ein Angreifer eine SQL-Injection-Schwachstelle (CVE-2020-12271) in der Sophos XG-Firewall entdeckt hatte.

Die Hacker nutzten dann den Zero-Day, um den in die Firewall integrierten PostgreSQL-Datenbankserver anzugreifen und Malware auf dem Gerät zu installieren. Bei der ursprünglich eingeschleusten Nutzlast handelte sich um einen Trojaner – den das Unternehmen Asnarök nennt. Dieser sammelte Dateien mit Benutzernamen und Kennwörtern für Sophos Firewall-Konten. Zusätzlich hinterließen die Angreifer zwei Dateien, die als Backdoors fungierten und eine Möglichkeit boten, infizierte Geräte zu kontrollieren.

Als Sophos den Angriff bemerkte, brachte das Unternehmen zeitnah einen Fix heraus. Die Angreifer bemerkten das und gerieten wohl in Panik. Sie modifizierten die Angriffsroutine, um ihren ursprünglichen Payload zum Datendiebstahl zu ersetzen und Lösegeldforderungen stellen zu können. Weitere Details sind dem ZDNet-Artikel sowie diesem Sophos-Beitrag zu entnehmen.


Anzeige


Dieser Beitrag wurde unter Sicherheit abgelegt und mit Ransomware, Sicherheit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Hackerangriff per 0-day-Exploit auf Sophos Firewalls


  1. Anzeige
  2. Alex sagt:

    0day setzt vorraus, dass es keinen patch gibt. Was soll diese Reißerische Überschrift? –

    Mann fiel in Fleischwolf. – Bild sprach zuerst mit der Frikadelle….

  3. oli sagt:

    Postgre Datenbank auf ner Firewall? Und wieso ist die überhaupt von außen erreichbar?

    im verlinkten Artikel:
    “XG firewalls where the auto-update feature was not enabled and where system administrators failed to manually install the patch were most likely infected.”

    WTF? Also irgendwie scheint da das Firewallkonzept nicht wirklich durchdacht zu sein, oder seh ich das aus Sicht eines IPFire-Users irgendwie falsch? Wenn ich mal nen Patch schleifen lasse, wird die Firewall jedenfalls nicht gleich von Malware befallen…

  4. Anzeige

  5. Tom T sagt:

    Vorsicht mit dem Update. Danach ist der SMTP-Transparent Proxy tot und funktioniert nicht mehr.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.