Hackerangriff per 0-day-Exploit auf Sophos Firewalls

[English]Hacker haben versucht, einen 0-day-Exploit in Sophos Firewalls für Angriffe auszunutzen. Der Hersteller hat aber fix mit einem Patch reagiert, so dass die Angriffe auf aktualisierten Systemen scheiterten.

Ich bin über nachfolgenden Tweet auf das Thema aufmerksam geworden, welches ZDNet in diesem Beitrag aufbereitet hat.

Hackers tried (and failed) to install ransomware using a zero-day in Sophos firewalls https://t.co/l4iKYiJgNj #hacking pic.twitter.com/6FZucGrsOi

— Moix Security (@moixsec) May 23, 2020

Das betreffende Update für die Sophos Firewalls steht wohl seit vorige Woche (21.5.2020) zur Verfügung.

Angriffe bereits im April 2020

Die ursprünglichen Angriffe fanden zwischen dem 22. und 26. April statt. In einem seinerzeit veröffentlichten Bericht sagte Sophos, dass ein Angreifer eine SQL-Injection-Schwachstelle (CVE-2020-12271) in der Sophos XG-Firewall entdeckt hatte.

Die Hacker nutzten dann den Zero-Day, um den in die Firewall integrierten PostgreSQL-Datenbankserver anzugreifen und Malware auf dem Gerät zu installieren. Bei der ursprünglich eingeschleusten Nutzlast handelte sich um einen Trojaner – den das Unternehmen Asnarök nennt. Dieser sammelte Dateien mit Benutzernamen und Kennwörtern für Sophos Firewall-Konten. Zusätzlich hinterließen die Angreifer zwei Dateien, die als Backdoors fungierten und eine Möglichkeit boten, infizierte Geräte zu kontrollieren.

Als Sophos den Angriff bemerkte, brachte das Unternehmen zeitnah einen Fix heraus. Die Angreifer bemerkten das und gerieten wohl in Panik. Sie modifizierten die Angriffsroutine, um ihren ursprünglichen Payload zum Datendiebstahl zu ersetzen und Lösegeldforderungen stellen zu können. Weitere Details sind dem ZDNet-Artikel sowie diesem Sophos-Beitrag zu entnehmen.