Categories: FirewallSicherheit

Hacker nutzen Zero-Day-Lücke in Sophos-Firewall aus

Sophos hat am Samstag ein außerplanmäßiges Sicherheitsupdate veröffentlicht. Es soll eine Zero-Day-Lücke in der Sophos XG Enterprise Firewall schließen, die aktiv von Hackern ausgenutzt wird. Aufmerksam wurde das Unternehmen auf die Schwachstelle durch den Fehlerbericht eines Kunden.

Der Kunde meldete demnach „einen verdächtigen Wert in einem Feld des Management-Interface“. Eine Untersuchung ergab, dass es sich dabei nicht um einen Fehler in der Firewall, sondern um einen aktiven Angriff handelt.

Die unbekannten Angreifer nutzten einen zuvor unbekannte SQL-Injection-Lücke, um auf XG-Firewall-Geräte zuzugreifen. Einer Sicherheitsmeldung von Sophos zufolge richteten sich die Attacken gegen Firewall-Geräte, bei denen das Administrations-Panel oder das User Portal über das Internet erreichbar waren.

Die SQL-Injection-Lücke wiederum nutzten die Hacker, um Schadsoftware einzuschleusen. Die Malware sollte Dateien von der XG Firewall stehlen. Sie enthielten möglicherweise Daten wie Nutzernamen und gehashte Passwörter von Administratoren sowie Anmeldedaten für einen Fernzugriff auf die Firewall.

Sophos zufolge fanden sich keine Hinweise darauf, dass die gestohlenen Daten tatsächlich benutzt wurden, um auf XG-Firewall-Geräte oder irgendetwas jenseits der Firewall zuzugreifen. Auch seien keine Anmeldedaten für Kundensysteme wie Active Directory oder LDAP betroffen.

Der Patch wird Sophos zufolge nun an Geräte verteilt, bei denen die automatische Updatefunktion aktiviert ist. „Dieser Hotfix eliminiert die SQL-Injection-Schwachstelle, was eine weitere Ausnutzung verhindert“, teilte das britische Unternehmen mit. Zudem würden mögliche Folgen eines Angriffs beseitigt. Darüber hinaus fügt das Update ein Feld zum Control Panel hinzu, das über eine mögliche Kompromittierung informiert.

Kunden, deren Geräte gehackt wurden, sollten des Weiteren die Passwörter für Portal- und Geräte-Administratoren sowie alle lokalen Nutzerkonten zurücksetzen und die Geräte neu starten. Zudem sollten die Ports für die Administrator-Zugänge deaktiviert werden, falls sie nicht benötigt werden.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Sicherheitsvorfall bei Nitro PDF betrifft Microsoft, Google und Apple

Unbekannte stehlen angeblich Datenbanken mit Kundendaten und in der Cloud gespeicherte Dokumente von Nutzern. Bleeping…

10 Stunden ago

Streit um Youtube-Downloader auf GitHub entbrannt

Die RIAA veranlasst die Sperrung von Projekten, die die Bibliothek für einen Youtube-Downloader beinhalten. Nutzer…

12 Stunden ago

Mehr als 7 Millionen Downloads: Avast entdeckt Adware-Apps im Play Store

Insgesamt 21 Apps zeigen unerwünschte und aufdringliche Werbung an. Sie enthalten die Adware HiddenAds. Bis…

14 Stunden ago

KashmirBlack: Botnet attackiert WordPress, Joomla und Drupal

Die Hintermänner nutzen bekannte Schwachstellen in CMS-Plattformen und Plug-ins. Darüber schleusen sie einen Cryptominer ein.…

17 Stunden ago

Hintergrundprozesse: Microsoft beschleunigt Start seines Browsers Edge

Windows 10 lädt Kernprozesse des Browsers bereits beim Start des Betriebssystem. Sie erhalten eine geringe…

19 Stunden ago

Umsatz- und Gewinnrückgang, schwache Prognose: SAPs Aktienkurs bricht ein

Der Überschuss verschlechtert sich um 12 Prozent. Beim Umsatz ergibt sich ein Minus von 4…

20 Stunden ago