Los hackers están explotando un firewall de Sophos de día cero


Sophos

La firma de ciberseguridad Sophos ha publicado una actualización de seguridad de emergencia el sábado para corregir una vulnerabilidad de día cero en su Producto de firewall empresarial XG que hackers abusaron de eso en la naturaleza

Sophos dijo que se enteró del día cero el miércoles 22 de abril por la noche, luego de recibir un informe de uno de sus clientes. El cliente informó haber visto «un valor de campo sospechoso noticeable en la interfaz de administración».

Después de investigar el informe, Sophos determinó que se trataba de un ataque activo y no un error en su producto.

Los hackers abusaron de un mistake de inyección SQL para robar contraseñas

«El ataque utilizó una vulnerabilidad de inyección SQL previamente desconocida para obtener acceso a dispositivos XG expuestos», dijo Sophos en un aviso de seguridad hoy.

Los piratas informáticos apuntaron a dispositivos Sophos XG Firewall que tenían su administración (servicio HTTPS) o el panel de handle del Portal del usuario expuesto en World-wide-web.

Sophos dijo que los piratas informáticos utilizaron la vulnerabilidad de inyección SQL para descargar una carga útil en el dispositivo. Esta carga útil luego robó archivos del Firewall XG.

Los datos robados pueden incluir nombres de usuario y contraseñas hash para el administrador del dispositivo de firewall, para los administradores del portal del firewall y las cuentas de usuario utilizadas para el acceso remoto al dispositivo.

Sophos dijo que las contraseñas para otros sistemas de autenticación externos de los clientes, como Advertisement o LDAP, no se vieron afectadas.

La compañía dijo que durante su investigación, no encontró ninguna evidencia de que los hackers usaran las contraseñas robadas para acceder a los dispositivos XG Firewall, o cualquier cosa más allá del firewall, en las redes internas de sus clientes.

Parche ya enviado a los dispositivos del cliente

La compañía del Reino Unido, famosa por su producto antivirus, dijo que preparó y ya promovió una actualización automática para parchear todos los Firewalls XG que tienen habilitada la función de actualización automática.

«Este hotfix eliminó la vulnerabilidad de inyección SQL que impedía una mayor explotación, impidió que XG Firewall accediera a la infraestructura del atacante y eliminó los restos del ataque», dijo.

La actualización de seguridad también agregará un cuadro especial en el panel de manage de XG Firewall para que los propietarios de dispositivos sepan si su dispositivo se ha visto comprometido.

sophos-xg-alert.png "src =" https://zdnet1.cbsistatic.com/hub/i/2020/04/26/da14246b-5150-4e29-a180-7f2323327c09/sophos-xg-alert.png

Imagen: Sophos

Para las empresas que tenían dispositivos pirateados, Sophos recomienda una serie de pasos, que incluyen restablecimientos de contraseñas y reinicios de dispositivos:

  1. Restablecer las cuentas de administrador del portal y administrador del dispositivo
  2. Reinicie los dispositivos XG
  3. Restablecer contraseñas para todas las cuentas de usuarios locales
  4. Si bien las contraseñas se cifraron, se recomienda restablecer las contraseñas para cualquier cuenta en la que las credenciales de XG podrían haberse reutilizado.

Sophos también recomienda que las empresas deshabiliten las interfaces de administración del firewall en los puertos con conexión a Web si no necesitan la función. Las instrucciones para deshabilitar el panel de manage en la interfaz WAN están disponibles aquí.



Enlace a la noticia initial