Volgens een rapport van Sophos waren Windows-pc's die de XG-firewall van het bedrijf gebruikten onlangs een doelwit voor ransomware-injectie. De Sophos firewall zero-day aanvallen vallen om vele redenen in de engste categorie.
Zoals bij alle zero-day-exploits, had het cyberbeveiligingsbedrijf net een beveiligingsfout ontdekt in zijn firewall-product. Dat betekent ook dat het bedrijf geen oplossing voorhanden had om de getroffen gebruikers aan te bieden.
In een dergelijk scenario racet het bedrijf tegen zowel de tijd als hackers die actief proberen de softwarekwetsbaarheid te misbruiken.
Er komt echter goed nieuws uit de hele beproeving. Sophos versloeg de aanvallers tweemaal.
Sophos firewall zero-day aanvallen
De eerste fase van de aanval vond eind april plaats. Dat was nadat een slechte acteur had ontdekt dat ze de Sophos-firewall konden doorbreken door op afstand een SQL-script te injecteren.
Ze implementeerden een Trojaans paard in een database nadat ze met succes gebruik hadden gemaakt van de RCE-maas in de firewall.
Vanaf de geschonden Windows-machines konden ze toegang krijgen tot verschillende soorten gegevens en deze ophalen. De gestolen informatie omvatte de licentie en het serienummer van de firewalls en e-mailadressen die zijn gekoppeld aan gebruikersaccounts die op de pc's zijn opgeslagen.
Ze konden ook de namen en gebruikersnamen van de getroffen firewallgebruikers achterhalen.
Jammer voor de hackers, ze stalen versleutelde Sophos-gebruikerswachtwoorden! Ze hadden de gestolen gegevens kunnen gebruiken om de rest van het netwerk te doorbreken.
Maar nadat Sophos de zero-day-kwetsbaarheid had ontdekt, brachten ze hotfixes uit die de beoogde firewalls beveiligden.
Toch maakten de aanvallers een tweede stap gericht op niet-gepatchte Windows-apparaten. Sophos verijdelde ook de volgende pogingen.
In de uren nadat Sophos hotfixes had uitgegeven die firewalls beveiligden die het doelwit waren van onbekende bedreigingsactoren, draaiden de aanvallers naar een nieuwe fase van de aanval en voegden nieuwe componenten toe, waaronder bestanden die bedoeld waren om ransomware te verspreiden naar niet-gepatchte Windows-machines binnen het netwerk. Helaas voor de bedreigingsactoren, hebben de hotfixes ook de daaropvolgende pogingen tot aanvallen voorkomen.
U kunt de blootstelling van uw machine aan Sophos firewall zero-day-aanvallen en soortgelijke bedreigingen minimaliseren door de nieuwste versie van alle software op uw Windows 10-computer te installeren.
Zorg er ook voor dat u up-to-date beveiligingsoplossingen van uw leverancier installeert.
Heeft u vragen of suggesties over OS- of firewallbeveiliging? U bent van harte welkom om uw feedback achter te laten in de opmerkingen hieronder.
- Cybersecurity