Piratas informáticos explotan vulnerablidad encontrada en el Firewall Sophos XG

La firma de ciberseguridad Sophos lanza un parche de emergencia para solucionar un error de inyección SQL en su producto XG Firewall que ha sido explotado.

La empresa de ciberseguridad Sophos lanzó un parche de emergencia para abordar una vulnerabilidad de día cero de inyección SQL que afecta a su producto XG Firewall.

Sophos fue informado de los ataques que explotaban el problema del día cero por uno de sus clientes el 22 de abril. El cliente notó «un valor de campo sospechoso visible en la interfaz de administración».

Sophos investigó el incidente y determinó que los piratas informáticos estaban apuntando a sistemas configurados con la administración (servicio HTTPS) o el Portal del usuario expuesto en la zona WAN.

Los atacantes explotaron una vulnerabilidad de día cero de inyección SQL para obtener acceso a dispositivos XG expuestos.

«El ataque utilizó una vulnerabilidad de inyección SQL previamente desconocida para obtener acceso a los dispositivos XG expuestos». lee el aviso publicado por Sophos.

Arlo Ultra review: Arlo's flagship security camera targets ...

“Fue diseñado para descargar cargas útiles destinadas a filtrar datos residentes de XG Firewall. Los datos para cualquier firewall específico dependen de la configuración específica y pueden incluir nombres de usuario y contraseñas hash para los administradores locales del dispositivo, los administradores del portal y las cuentas de usuario utilizadas para el acceso remoto «. “Las contraseñas asociadas con sistemas de autenticación externos como AD o LDAP no se ven afectadas. En este momento, no hay indicios de que el ataque haya accedido a algo en las redes locales detrás de un Firewall XG afectado ”.

Los piratas informáticos explotaron la falla de inyección SQL para descargar código malicioso en el dispositivo que fue diseñado para robar archivos del Firewall XG.

Los atacantes podrían explotar el problema para robar datos confidenciales, incluidos nombres de usuario y contraseñas hash para el administrador del dispositivo de firewall y las cuentas de usuario utilizadas para el acceso remoto. Sophos señaló que las contraseñas asociadas con sistemas de autenticación externos como AD o LDAP no se ven afectadas.

El aviso de Sophos indica que no hay indicios de que el ataque haya accedido a algo en las redes locales detrás de un Firewall XG afectado.

La compañía confirmó que no encontró ninguna evidencia de que los actores de amenazas usaran las contraseñas robadas para acceder a los dispositivos XG Firewall.

Sophos ya emitió una actualización automática para abordar todos los cortafuegos XG con la función de actualización automática habilitada.

«Después de determinar los componentes y el impacto del ataque, Sophos implementó una revisión en todas las versiones compatibles de XG Firewall / SFOS». declara el aviso.

«Esta revisión eliminó la vulnerabilidad de inyección SQL que impidió una mayor explotación, impidió que XG Firewall accediera a la infraestructura de los atacantes y eliminó los restos del ataque».

La actualización de Sophos también agregará un cuadro especial en el panel de control de XG Firewall para permitir a los usuarios determinar si su dispositivo se ha visto comprometido.

Para los usuarios que tenían comprometidos sus dispositivos XG Firewall y que han recibido la revisión, Sophos recomienda encarecidamente los siguientes pasos adicionales para remediar completamente el problema:

  1. Restablecer las cuentas de administrador del portal y administrador del dispositivo
  2. Reinicie los dispositivos XG
  3. Restablecer contraseñas para todas las cuentas de usuarios locales
  4. Si bien las contraseñas se cifraron, se recomienda restablecer las contraseñas para cualquier cuenta en la que las credenciales de XG podrían haberse reutilizado.

La empresa de seguridad también recomienda que las empresas deshabiliten las interfaces de administración del firewall en los puertos con conexión a Internet si no necesitan la función

fuente: https://www.sophos.com/

Comments are closed.