黑客试图在Sophos防火墙中安装零日勒索软件

英国网络安全供应商Sophos今天发布了一份最新的调查报告，该公司对最近一系列攻击事件进行了调查，这些攻击试图利用其XG防火墙产品中的一个零日漏洞。

Sophos公司表示，在得知这一事件并发布了一个热修复程序后，攻击者惊慌失措，修改了他们的攻击程序，替换了原来的数据窃取负载，并在Sophos防火墙保护的公司网络上部署了勒索软件。

Sophos表示，收到热修复程序的防火墙阻止了随后安装勒索软件的尝试。

最初的袭击发生在4月22日至26日之间。在当时发表的一份报告中，Sophos称攻击者在Sophos XG防火墙中发现了一个SQL注入漏洞(CVE-2020-12271)。

黑客利用zero-day攻击防火墙内置的PostgreSQL数据库服务器，并在设备上植入恶意软件。

Sophos公司表示，最初的有效载荷是一个木马病毒——该公司将其命名为Asnarok——它会收集包含Sophos防火墙账户用户名和密码的文件。

此外，攻击者还留下了两个作为后门的文件，它们提供了一种控制受感染设备的方法。

Sophos很快做出了反应，在得知攻击消息的四天后，该公司发布了XG防火墙的修复程序，并将其自动推送到所有启用了自动更新选项的防火墙。

但是在今天发表的一份新报告中，Sophos表示，一旦有关攻击的消息公之于众，补丁就开始发布，攻击者就改变了他们的攻击方式。

新的攻击链包括以下有效载荷:

然而，索福斯说，新的攻击程序失败了。该公司表示，在修补过的防火墙上，热修复程序清除了恶意软件的所有痕迹，包括两个后门机制，防止新的攻击链成功地交付和安装勒索软件。

没有启用自动更新功能的XG防火墙和系统管理员未能手动安装补丁的防火墙最有可能受到感染。

ZDNet今天向Sophos询问了黑客成功安装勒索软件的事件数量。

Ragnarok勒索软件是一种不太为人所知的勒索软件。在这篇报道之前，Ragnarok勒索软件已经出现在黑客攻击Citrix ADC(网络网关系统)的攻击中。

这些攻击遵循类似Sophos所描述的模式，攻击者攻击一家公司的网络边缘设备，然后转向内部网络上的工作站。

Sophos表示:“这一事件凸显了保持防火墙内的机器处于最新状态的必要性，同时也提醒我们，任何物联网设备都可能被滥用，成为入侵Windows机器的立足点。”“对行业和执法部门来说，密切关注这个群体也很重要，因为针对永远在线的网络设备的攻击可能会产生巨大的影响。”