Sophos公司上周收到报告称,黑客正在积极利用一个SQL注入漏洞,该公司随即向其广受欢迎的XG防火墙网络系统的用户发送补丁。
这次攻击涉及下载和安装一系列旨在窃取用户名、密码和其他敏感数据的脚本。
Sophos团队说:“目前,没有迹象表明攻击访问了任何受影响的XG防火墙后面的本地网络上的任何内容。”但他们没有排除数据泄露的可能性。
Sophos报告说,用户使用了一系列复杂的步骤来进入系统。黑客利用以前不为人知的SQL注入缺陷,能够将恶意代码插入后端数据库,以获得对受保护数据的未经授权的访问。
研究人员将这次攻击命名为Asnarok,攻击目标是管理员登录凭证和远程访问用户帐户。有证据表明,黑客还寻求防火墙许可证和序列号。
“这个恶意软件的主要任务似乎是数据盗窃,它可以通过检索存储在防火墙中的各种数据库表的内容,以及运行一些操作系统命令来执行,”Sophos在周日的一份在线报告中解释说。“在每一步,恶意软件收集信息,然后将其连接到一个暂时存储在防火墙上的名为info.xg的文件中。”
Sophos认为“在攻击的执行过程中有重要的协调工作”,指的是Linux脚本链,以及在攻击过程中利用明显合法的站点下载恶意软件,每次激活防火墙时都执行这个过程。
Asnarok攻击首先被一个用户检测到,他在系统概览中发现了一个异常的字段条目。
Sophos在4月22日收到了一份报告,报告中提到一个XG防火墙在管理界面中显示了一个可疑的字段值。Sophos公司展开了一项调查,该事件被确定为对物理和虚拟XG防火墙单元的攻击。受攻击影响的系统要么配置为管理(HTTPS服务),要么配置为在WAN区域上公开的用户门户。”
如果系统用户的帐户受到黑客攻击的影响,热修复程序将显示消息:“热修复程序应用于SQL注入和部分清理。”
在这些情况下,Sophos建议用户重置门户管理员和设备管理员帐户,重新启动受XG保护的设备并重置所有本地用户帐户的密码。
如果用户的帐户未被泄露,则热修复程序将显示消息:“应用于SQL注入的热修复程序。”你的设备没有被入侵。”