Хакеры активно эксплуатируют 0Day-уязвимость в межсетевых экранах Sophos

Производитель защитных решений компания Sophos выпустила экстренное обновление, устраняющее уязвимость в продукте XG Firewall, активно эксплуатируемую киберпреступниками.

О проблеме стало известно 22 апреля, когда компания получила сообщение от одного из клиентов о «подозрительном значении поля в интерфейсе управления». Расследование показало, что речь идет об активно эксплуатируемой уязвимости, а не об ошибке в продукте.

Как пояснили в компании, «атакующие использовали ранее неизвестную уязвимость внедрения SQL-кода для доступа к незащищенным XG устройствам». В частности, атакам подвергались межсетевые экраны Sophos XG Firewall с доступными в Сети административными или пользовательскими панелями управления.

По имеющимся сведениям, хакеры использовали уязвимость для загрузки вредоносного ПО на устройство, похищающего данные из XG Firewall. Украденная информация могла включать логины и хеши паролей для учетной записи администратора и пользовательских аккаунтов, используемых для удаленного доступа к устройству.

Пароли для прочих систем аутентификации (AD или LDAP) в ходе атаки не пострадали. В компании также отметили, что не нашли свидетельств использования украденных паролей для доступа к внутренним сетям клиентов.

Sophos порекомендовала пользователям сбросить пароли и перезагрузить устройства, а также отключить доступные из интернета порты административных интерфейсов межсетевых экранов, если в них нет необходимости.