Cibercriminales están explotando una vulnerabilidad Zero-Day en los Firewalls de Sophos



Sophos es una compañía Británica desarrolladora de software y hardware de seguridad principalmente enfocada para empresas u organizaciones, de segunda prioridad ofrece a los usuarios de hogares, soluciones de seguridad gratuitas y pagas, entre los productos y servicios que ofrece están la comunicación entre dispositivos, cifrado de datos, como seguridad en redes, correos electrónicos, dispositivos móviles y gestores de amenaza unificados.

Recientemente la compañía Sophos ha reportado y lanzado un parche de seguridad a una vulnerabilidad de tipo “SQL injection” previamente a la autenticación, que al ser explotada exitosamente permite la ejecución de código remoto (RCE), cabe destacar que aún no se le ha asignado un número de identificación CVE y afecta todas las versiones de “XG firewall Firmware” físicos y virtuales.

El ataque afecta a los sistemas configurados por medio de la interfaz de administración (HTTPS admin service) o por el portal de usuario expuesto a la internet. Así como los Firewalls configurados manualmente por servicios expuestos como SSL o VPN hacia Internet. 

La compañía informó que el ataque usado consiste en una cadena de “Linux Shell Scripts” que eventualmente descarga un malware ejecutable binario ELF para el Sophos Firewall Operating System (SFOS).

Diagrama de Ataque

Donde la meta del ataque es recolectar información como:

  1. La dirección IP pública del Firewall
  2. La licencia (license key)
  3. Las direcciones de correo de las cuentas de usuarios almacenadas en el dispositivo, así como también la cuenta de administración.
  4. Los nombres de usuario en el firewall, las contraseñas encriptadas, y el hash SHA256 de la contraseña del administrador.
  5. Una lista de ID de usuarios que pueda usar el Firewall para SSL VPN y las cuentas que pueden usar una conexión VPN “sin cliente”.
  6. Información acerca del firewall (Versión del Firmware, CPU, Memoria).
  7. Una lista de asignación de permisos por direcciones IP y Usuarios.


Toda esta información es escrita en un archivo, para luego ser comprimido, cifrado y enviado a la máquina remota controlada por el atacante.

Es recomendable que los administradores de los Firewall Sophos, realicen la actualización lo más pronto posible, así como activar las actualizaciones automáticas de ser posible. Aquellos cortafuegos que se hayan visto comprometidos deben restablecer las cuentas de administrador del dispositivo, reiniciar los y restablecer contraseñas para todas las cuentas de usuarios locales y para cualquier cuenta donde las credenciales de XG puedan reutilizarse.




Fuente:

COMENTARIOS

Nombre

Actualización,3,Actualizaciones,4,Adobe,2,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apache,1,APP,1,Apple,16,Apps,13,APT,1,Arkavia Networks,15,asus,1,Ataques,7,Azure,2,Backdoor,5,Bancos,6,Barracuda,1,Bases de Datos,6,BCE,1,Bluetooth,1,bootHole,1,Botnet,6,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,3,Ciberataque,4,Cibercrimen,135,Ciberdelincuencia,9,ciberseguridad,141,Cisco,3,Citrix,5,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,Consejos,1,CONVID,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,7,CSP,1,CTF,1,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,3,Data Leak,11,Database,2,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,DoS,1,Ecommerce,3,elasticsearch,1,Email,2,Emotet,2,Empresas,113,enrutadores,1,Estadisticas,1,evento,1,Eventos,6,Evilnum,1,Exchange,2,exploit,7,Exploits,11,Extensiones,2,Extensions,2,F5 Networks,1,Facebook,9,Falla,1,Fintech,1,Firewall,1,Firmware,2,Flash,1,Framework,1,Freta,1,GARMIN,2,Glueball,1,Gmail,3,GoDaddy,1,google,34,GPS,2,GRUB2,1,Hacking,83,Hardware,7,Hosting,3,HTML5,1,HTTP,1,IBM,1,IGMP,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,IOC,1,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Joomla,1,LG,1,Linux,9,LSASS,1,Macromedia,1,Malware,45,Malwares,32,Maze,1,Messenger,1,MFA,1,Microsoft,37,Mirai,2,Monero,1,mongoDB,1,MSP,1,MSSQL,1,Mukashi,1,Nacional,10,NAS,2,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,16,Plugins,1,PoC,2,Protocolos,12,Python,2,QNAP,1,QR,1,Ragnar_Locker,1,Ransomware,18,RAT,2,RCE,2,RDP,3,Recomendaciones,16,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rookit,1,Rootkit,1,Routers,3,RRSS,2,Salt,1,Salud,2,SeguridadTI,1,Servicios,6,Smartphones,29,SMB,5,Software,23,Sophos,1,Spambot,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,TeamViewer,1,Tplink,1,Trickbot,1,Trojan,2,Troyano,3,Update,5,updates,22,USB,1,Videoconferencia,1,VNC,1,VPN,3,Vulnerabilidad,34,Vulnerabilidades,76,Web,8,WhatsApp,5,wifi,5,Windows,19,Wordpress,4,Xerox,1,XG,1,Yahoo,1,zeroday,3,Zoom,3,Zoombombing,1,
ltr
item
Arkavia Networks News: Cibercriminales están explotando una vulnerabilidad Zero-Day en los Firewalls de Sophos
Cibercriminales están explotando una vulnerabilidad Zero-Day en los Firewalls de Sophos
https://1.bp.blogspot.com/-MLCasTsuzvY/XqhW3KjyrHI/AAAAAAAAB9k/yBDWfvbuEhoATaW-KhadwbN45w0-5irkQCLcBGAsYHQ/s640/Sophos%2BSQL%2Binjection.jpg
https://1.bp.blogspot.com/-MLCasTsuzvY/XqhW3KjyrHI/AAAAAAAAB9k/yBDWfvbuEhoATaW-KhadwbN45w0-5irkQCLcBGAsYHQ/s72-c/Sophos%2BSQL%2Binjection.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/04/sophos-es-una-compania-britanica.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/04/sophos-es-una-compania-britanica.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy