服务热线:400-710-8008

首页>>公司新闻 >> 行业动态>>黑客利用XG防火墙中的零日漏洞传播Ragnarok勒索软件
详细内容

黑客利用XG防火墙中的零日漏洞传播Ragnarok勒索软件

    黑客试图利用Sophos XG防火墙中的零日漏洞(CVE-2020-12271)传播勒索软件,网络安全公司Sophos发布紧急补丁,修复此SQL注入漏洞,阻止这波攻击。

    Sophos公司在4月底获悉,有黑客发现其产品存在“管理界面中可见的可疑字段值”,并利用来进行网络攻击。

    随后Sophos进行了调查研究,确定此次攻击针对的是配置了HTTPS服务或在广域网上暴露了用户登录界面的系统。黑客利用该零日漏洞来访问在互联网上暴露的XG设备。

    Sophos发布的公告中表示,“黑客利用SQL注入漏洞在设备上下载payload,从而窃取XG防火墙中的数据。可以获取哪些数据取决于特定防火墙的配置,可能会包含本地或远程访问该设备的帐户用户名和密码。但是其不会获得用户其他外部身份验证系统(例如AD或LDAP)的密码,也没有证据表明黑客通过XG防火墙访问用户内网上的其他设备或数据。”

    黑客通过在受影响的设备上安装Asnarök木马来窃取数据,并试图破坏网络。Asnarök木马可以检索到的防火墙信息包括:

    防火墙的许可证和序列号;

    存储在设备上的帐户信息,主要是一些电子邮件列表;

    防火墙用户的名称、用户名、密码的加密形式以及加盐的SHA256哈希值(密码不是以纯文本存储的);

    允许使用SSL VPN防火墙的用户id列表和允许使用“无客户端”VPN连接的帐户。


    Sophos发布的补丁修复了该漏洞,阻止黑客通过受漏洞影响的XG防火墙访问内网中的其他设备,并清除了攻击活动中的残余痕迹。

    另外,Sophos在设备控制面板中添加了一个特殊的框,以标记设备是否遭受攻击。

    在Sophos修复漏洞后,黑客改变了攻击方式并试图传播Ragnarok勒索软件。

    黑客通过使用“备份通道”,在特定情况下触发攻击。该“备份通道”是一个Linux shell脚本,这也是该攻击方式特殊的地方,使用Linux ELF应用程序将恶意软件跨平台传播到Windows计算机上。Sophos公司表示,只需将其在攻击过程中创建的特定文件删除,即可阻止该攻击,建议用户及时安装补丁。