Sophos紧急修补旗下防火墙已遭开采的零时差漏洞

安全厂商Sophos周五发出公告,其企业防火墙产品XG Firewall一个之前未发现的资料隐码(SQL injection)漏洞遭到黑客开采,而影响到多家客户。修补程序已经于上周末发布。

Sophos是在4月22日晚间,经客户通报其XG Firewall管理接口上出现可疑值,调查后判定实体和虚拟XG Firewall遭不明人士攻击,影响管理员接口(HTTPS管理员服务)或用户portal暴露于WAN zone的防火墙产品。另外,手动设置以共享同一传输端口作为管理或用户portal目的,以致于暴露于WAN zone的防火墙服务(即SSLVPN)也会受到影响。

Sophos指出,攻击者是利用XG Firewall的验证前(pre-auth)SQL Injection漏洞访问这些防火墙产品,植入恶意程序以窃取防火墙中的文件。

只要具备上述三种情形的用户,都应假设资料已遭外泄。这些资料可能包括所有用户账号的本机用户名称及经散列处理的密码,像是设备管理员、用户portal账号及远程访问账号。不过Sophos说,与外部验证系统像是AD或LDAP相关的密码,则不受影响。

Sophos已在周末发布该漏洞的修补程序,还会在管理接口上显示XG Firewall是否曾遭攻击,并表示已自动更新到防火墙产品上。