Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Zero Day: Sicherheitslücke in Sophos XG Firewall aktiv ausgenutzt

Auf gehackten Sophos XG Firewalls müssen die Konten zurückgesetzt werden.
/ Moritz Tremmel
1 Kommentare News folgen (öffnet im neuen Fenster)
Zero Day in Sophos XG Firewall (Bild: Sophos)
Zero Day in Sophos XG Firewall Bild: Sophos

Angreifer nutzen eine Sicherheitslücke in der Sophos XG Firewall aktiv aus. Die Sicherheitsfirma Sophos hat am Wochenende einen Notfallpatch veröffentlicht und verteilt, um die bis dato unbekannte Sicherheitslücke (Zero Day) zu schließen. Sophos hatte laut eigenen Angaben durch eine Nutzermeldung am 22. April 2020 von der Sicherheitslücke erfahren. Dieser wies das Unternehmen auf einen verdächtigen Eintrag in der Verwaltungsoberfläche hin.

Angegriffen wurden ausschließlich Firewalls, deren Konfigurationsoberfläche über das Internet erreichbar war. "Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Geräten zu erhalten" , schreibt Sophos in einem Blogeintrag(öffnet im neuen Fenster) . Über diese konnten die Angreifer ein Shellscript auf der Firewall ausführen und anschließend Daten auslesen.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Backend / Game Engine Engineer (m/w/d) 4Players GmbH, Hamburg,Home Office (öffnet im neuen Fenster)
Administrator*in Automic Automation Deutsche Rentenversicherung Bund, Würzburg,Berlin,Home Office (öffnet im neuen Fenster)
Administrator/in für Active Directory und PKI (m/w/d) Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben, Berlin (öffnet im neuen Fenster)
Referent Informationssicherheit (m/w/div.) Stadtwerke Dachau, Dachau (öffnet im neuen Fenster)
Technical Writer (m/w/d) SoftProject GmbH, Ettlingen (öffnet im neuen Fenster)
Senior Project Manager (m/w/d) Lease a Bike Deutschland GmbH, Cloppenburg (öffnet im neuen Fenster)
SAP-Berater (m/w/d) Berechtigungsmanagement ivv GmbH, Hannover (öffnet im neuen Fenster)
IT Solution Architect (w|m|d) ADAC IT Service GmbH, München (öffnet im neuen Fenster)

Asnarök hackt Firewall

Sophos nennt die Schadsoftware Asnarök und analysiert diese in einem weiteren Blogeintrag(öffnet im neuen Fenster) ausführlich. Demnach versuchte die Schadsoftware, über SQL-Befehle ihre Spuren zu verwischen und die Benutzernamen, E-Mail-Adressen sowie die gehashten Passwörter auszulesen. Zudem sei der Lizenzschlüssel der Firewall ausgelesen worden. Passwörter, die mit externen Authentifizierungssystemen verwendet werden, beispielsweise LDAP oder Active Directory (AD), seien jedoch nicht betroffen, schreibt Sophos.

Ein Patch, der die Sicherheitslücke schließt, wurde bereits am Wochenende verteilt. Mit dem Patch wird zudem ein Hinweis in der Verwaltungsoberfläche angezeigt, ob die entsprechende Installation gehackt wurde oder nicht. Sophos rät gehackten Nutzern, ihre Admin-Konten zurückzusetzen und anschließend einen Reboot durchzuführen. Danach sollten auch die Passwörter aller Nutzerkonten zurückgesetzt werden. Die Passwörter sollten weder hier noch an anderer Stelle (wieder) verwendet werden.

Zur Startseite 1 Kommentare

Relevante Themen

SoftwareSecuritySicherheitslückeCybercrimeDatensicherheitVirusAnti-Virus