Zero Day: Sicherheitslücke in Sophos XG Firewall aktiv ausgenutzt

Auf gehackten Sophos XG Firewalls müssen die Konten zurückgesetzt werden.

Artikel veröffentlicht am ,
Zero Day in Sophos XG Firewall
Zero Day in Sophos XG Firewall (Bild: Sophos)

Angreifer nutzen eine Sicherheitslücke in der Sophos XG Firewall aktiv aus. Die Sicherheitsfirma Sophos hat am Wochenende einen Notfallpatch veröffentlicht und verteilt, um die bis dato unbekannte Sicherheitslücke (Zero Day) zu schließen. Sophos hatte laut eigenen Angaben durch eine Nutzermeldung am 22. April 2020 von der Sicherheitslücke erfahren. Dieser wies das Unternehmen auf einen verdächtigen Eintrag in der Verwaltungsoberfläche hin.

Stellenmarkt
  1. SAP ABAP/UI5 Entwickler (m/w/x)
    über duerenhoff GmbH, Raum Osnabrück
  2. SAP Logistik-Berater (m/w/x)
    über duerenhoff GmbH, Raum Darmstadt
Detailsuche

Angegriffen wurden ausschließlich Firewalls, deren Konfigurationsoberfläche über das Internet erreichbar war. "Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Geräten zu erhalten", schreibt Sophos in einem Blogeintrag. Über diese konnten die Angreifer ein Shellscript auf der Firewall ausführen und anschließend Daten auslesen.

Asnarök hackt Firewall

Sophos nennt die Schadsoftware Asnarök und analysiert diese in einem weiteren Blogeintrag ausführlich. Demnach versuchte die Schadsoftware, über SQL-Befehle ihre Spuren zu verwischen und die Benutzernamen, E-Mail-Adressen sowie die gehashten Passwörter auszulesen. Zudem sei der Lizenzschlüssel der Firewall ausgelesen worden. Passwörter, die mit externen Authentifizierungssystemen verwendet werden, beispielsweise LDAP oder Active Directory (AD), seien jedoch nicht betroffen, schreibt Sophos.

Ein Patch, der die Sicherheitslücke schließt, wurde bereits am Wochenende verteilt. Mit dem Patch wird zudem ein Hinweis in der Verwaltungsoberfläche angezeigt, ob die entsprechende Installation gehackt wurde oder nicht. Sophos rät gehackten Nutzern, ihre Admin-Konten zurückzusetzen und anschließend einen Reboot durchzuführen. Danach sollten auch die Passwörter aller Nutzerkonten zurückgesetzt werden. Die Passwörter sollten weder hier noch an anderer Stelle (wieder) verwendet werden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Halbleiter & SMIC
Chip-Nachfrage für Smartphones und PC fällt "wie ein Stein"

Chinesische Kunden von SMIC haben volle Lager und ordern weniger Chips. Andere Halbleiter sollen den Einbruch auffangen.

Halbleiter & SMIC: Chip-Nachfrage für Smartphones und PC fällt wie ein Stein
Artikel
  1. Google: Russland will Youtube aus Selbstschutz nicht blockieren
    Google
    Russland will Youtube aus Selbstschutz nicht blockieren

    Die zahlreichen Drohungen der russischen Zensurbehörde zur Blockade von Youtube werden wohl nicht umgesetzt. Die Auswirkungen wären zu stark.

  2. Arclight Rumble: Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!
    Arclight Rumble
    Wegen Warcraft Mobile sollte sich Blizzard selbst verklagen!

    Golem.de hat es gespielt: Arclight Rumble entpuppt sich als gelungenes Mobile Game - aber wie ein echtes Warcraft fühlt es sich nicht an.
    Von Peter Steinlechner

  3. Biontech: Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen
    Biontech
    Mainz kann 365-Euro-ÖPNV-Ticket dank Corona einführen

    In Mainz ist Biontech beheimatet, was die Steuereinnahmen explodieren lässt. Mit dem Geld wird nun ein 365-Euro-Jahresticket für Schüler und Azubis finanziert.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5 jetzt bestellbar • Cyber Week: Bis zu 900€ Rabatt auf E-Bikes • MindStar (u. a. Intel Core i9 529€, MSI RTX 3060 Ti 609€) • Gigabyte Waterforce Mainboard günstig wie nie: 480,95€ • Razer Ornata V2 Gaming-Tastatur günstig wie nie: 54,99€ • AOC G3 Gaming-Monitor 34" 165 Hz günstig wie nie: 404€ [Werbung]
    •  /