Sophos緊急修補旗下防火牆已遭開採的零時差漏洞

安全廠商Sophos周五發出公告，其企業防火牆產品XG Firewall一個之前未發現的資料隱碼（SQL injection）漏洞遭到駭客開採，而影響到多家客戶。修補程式已經於上周末釋出。

Sophos是在4月22日晚間，經客戶通報其XG Firewall管理介面上出現可疑值，調查後判定實體和虛擬XG Firewall遭不明人士攻擊，影響管理員介面（HTTPS管理員服務）或使用者portal暴露於WAN zone的防火牆產品。另外，手動設定以共用同一傳輸埠作為管理或用戶portal目的，以致於暴露於WAN zone的防火牆服務（即SSLVPN）也會受到影響。

Sophos指出，攻擊者是利用XG Firewall的驗證前（pre-auth）SQL Injection漏洞存取這些防火牆產品，植入惡意程式以竊取防火牆中的檔案。

只要具備上述三種情形的用戶，都應假設資料已遭外洩。這些資料可能包括所有用戶帳號的本機用戶名稱及經雜湊處理的密碼，像是裝置管理員、用戶portal帳號及遠端存取帳號。不過Sophos說，與外部驗證系統像是AD或LDAP相關的密碼，則不受影響。

Sophos已在周末釋出該漏洞的修補程式，還會在管理介面上顯示XG Firewall是否曾遭攻擊，並表示已自動更新到防火牆產品上。