[English]Hacker haben versucht, einen 0-day-Exploit in Sophos Firewalls für Angriffe auszunutzen. Der Hersteller hat aber fix mit einem Patch reagiert, so dass die Angriffe auf aktualisierten Systemen scheiterten.
Anzeige
Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden, welches ZDNet in diesem Beitrag aufbereitet hat.
Hackers tried (and failed) to install ransomware using a zero-day in Sophos firewalls https://t.co/l4iKYiJgNj #hacking pic.twitter.com/6FZucGrsOi
— Moix Security (@moixsec) May 23, 2020
Das betreffende Update für die Sophos Firewalls steht wohl seit vorige Woche (21.5.2020) zur Verfügung.
Angriffe bereits im April 2020
Die ursprünglichen Angriffe fanden zwischen dem 22. und 26. April statt. In einem seinerzeit veröffentlichten Bericht sagte Sophos, dass ein Angreifer eine SQL-Injection-Schwachstelle (CVE-2020-12271) in der Sophos XG-Firewall entdeckt hatte.
Anzeige
Die Hacker nutzten dann den Zero-Day, um den in die Firewall integrierten PostgreSQL-Datenbankserver anzugreifen und Malware auf dem Gerät zu installieren. Bei der ursprünglich eingeschleusten Nutzlast handelte sich um einen Trojaner – den das Unternehmen Asnarök nennt. Dieser sammelte Dateien mit Benutzernamen und Kennwörtern für Sophos Firewall-Konten. Zusätzlich hinterließen die Angreifer zwei Dateien, die als Backdoors fungierten und eine Möglichkeit boten, infizierte Geräte zu kontrollieren.
Als Sophos den Angriff bemerkte, brachte das Unternehmen zeitnah einen Fix heraus. Die Angreifer bemerkten das und gerieten wohl in Panik. Sie modifizierten die Angriffsroutine, um ihren ursprünglichen Payload zum Datendiebstahl zu ersetzen und Lösegeldforderungen stellen zu können. Weitere Details sind dem ZDNet-Artikel sowie diesem Sophos-Beitrag zu entnehmen.
Anzeige
0day setzt vorraus, dass es keinen patch gibt. Was soll diese Reißerische Überschrift? –
Mann fiel in Fleischwolf. – Bild sprach zuerst mit der Frikadelle….
Postgre Datenbank auf ner Firewall? Und wieso ist die überhaupt von außen erreichbar?
im verlinkten Artikel:
"XG firewalls where the auto-update feature was not enabled and where system administrators failed to manually install the patch were most likely infected."
WTF? Also irgendwie scheint da das Firewallkonzept nicht wirklich durchdacht zu sein, oder seh ich das aus Sicht eines IPFire-Users irgendwie falsch? Wenn ich mal nen Patch schleifen lasse, wird die Firewall jedenfalls nicht gleich von Malware befallen…
Vorsicht mit dem Update. Danach ist der SMTP-Transparent Proxy tot und funktioniert nicht mehr.
Sowieso Sophos und Update schnell einspielen ist immer so ein Ding …