在4月底紧急修补被开采的Sophos XG Firewall产品漏洞后,Sophos指出,黑客在该公司发布修补程序之后的几个小时,就改变了攻击策略,而且企图通过同一个漏洞来传播勒索软件,但已修补的系统将可逃过一劫。
当初现身于Sophos XG Firewall中的漏洞,是个人信息料隐码(SQL injection)远程程序执行漏洞,将允许黑客窃取防火墙资料,包括防火墙的授权与序号,防火墙管理员及用户的电子邮件账号,防火墙用户的姓名、用户名与加密密码,以及可使用该防火墙执行SSL VPN通信的用户账号等。且这也是黑客最早的攻击目的,企图借由该漏洞植入Asnarök木马程序。
Sophos除了关闭该漏洞之外,也移除了黑客所植入的恶意程序及脚本程序,且不必重新启动防火墙。但黑客后来针对Sophos的修补执行了新一波的攻击行动,且这次变本加厉的企图于目标系统上部署勒索软件。
此次黑客利用美国中情局的EternalBlue与DoublePulsar攻击程序,来渗透受害者网络,并尝试部署Ragnarok勒索软件,幸好Sophos原先的修补也能有效地防范最新攻击。不过,研究人员提醒,黑客不只使用较少见的Ragnarok勒索软件,在攻击行动中也罕见地利用Linux ELF,来传播恶意程序,
Sophos XG Firewall的安装默认值为自动更新,若曾变更该设置,则应尽快进行手动更新。