Autores de Ameaças estão Explorando uma Vulnerabilidade de Dia Zero no Firewall da Sophos

A empresa de segurança cibernética Sophos publicou uma atualização de emergência na semana passada, corrigindo uma vulnerabilidade de dia zero no produto de firewall XG que estava sendo alvo de hackers. A Sophos compartilhou que soube da vulnerabilidade em 22 de abril, depois de receber um relatório de um de seus clientes. O cliente detectou um valor suspeito visível na interface de gerenciamento. Isso levou a Sophos a investigar o relatório, acreditando que isso era um ataque e não um erro no software.

Os Hackers Abusaram de um Bug de Injeção SQL.

O ataque estava usando uma vulnerabilidade de injeção SQL desconhecida anteriormente para obter acesso aos dispositivos XG expostos, de acordo com a Sophos. Os hackers estavam visando os dispositivos XG Firewall da Sophos que tinham seu serviço de administração HTTPS ou seus painéis de controle do Portal do Usuário expostos à Internet. A empresa disse que os hackers usaram a vulnerabilidade de injeção para baixar uma carga útil nos dispositivos visados. Essa carga útil foi usada para roubar os arquivos do XG Firewall.

Os dados roubados podem ter nomes de usuário e senhas em hash para o administrador do conselho de firewall, bem como para os administradores do portal do firewall e contas de usuário para acesso remoto. Os dados também incluíam o número de série e a licença do firewall, além de emails do usuário. A Sophos mencionou que as senhas dos sistemas de autenticação dos clientes, tais como LDAP e AD, não foram roubadas.

A empresa mencionou que, durante a investigação, eles não encontraram evidências de que haviam senhas roubadas capazes de acessar dispositivos XG Firewall ou qualquer coisa atrás do firewall nas redes internas. Os pesquisadores compartilharam o malware usado no ataque chamado Asnarok.

Uma Correção foi lançada para os Dispositivos dos Cliente.

A empresa disse que preparou e lançou uma atualização automática que corrige todos os XG Firewalls com o recurso de atualização automática ativado. O hotfix remove a vulnerabilidade de injeção SQL, impedindo novas explorações, impedindo o XG Firewall de acessar a infraestrutura e limpando os remanescentes do ataque. A atualização de segurança adicionou uma caixa no painel de controle do XG Firewall que informa aos proprietários do dispositivo se ele foi comprometido.

• As empresas que tiveram os dispositivos invadidos foram aconselhadas a executar algumas etapas, especificamente as seguintes:
• Redefinindo os administradores do portal e as contas de administrador do dispositivo
• Reiniciando o dispositivo ou dispositivos XG
• Redefinindo senhas em todas as contas de usuários locais
• Mesmo que as senhas tenham sido divididas em hash, os usuários são aconselhados a redefinir todas as contas nas quais as credenciais XG possam ser reutilizadas de alguma forma.
• A Sophos também recomendou que as empresas desabilitassem as interfaces de administração do firewall em qualquer porta voltada para a Internet, assumindo que elas não são mais necessárias.