0day. SQL injection oraz RCE w sprzętowym firewallu od Sophosa. Atakujący zaczęli przejmować kolejne urządzenia.

Ta krótka historia zaczyna się tak:

Sophos received a report on April 22, 2020, at 20:29 UTC regarding an XG Firewall with a suspicious field value visible in the management interface. (…) The attack affected systems configured with either the administration (HTTPS service) or the User Portal exposed on the WAN zone. The attack used a previously unknown SQL injection vulnerability to gain access to exposed XG devices. It was designed to download payloads intended to exfiltrate XG Firewall-resident data.

Wygląda więc na to, że wystarczy aby interfejs dla użytkownika (np. SSL VPN) czy administratora był dostępny z Internetu. Atakujący wtedy może odpalić SQL injection (wiele osób uważa, że tej podatności już dawno, dawno nigdzie nie można spotkać ;) a następnie wykonać kod na urządzeniu (RCE).

Sophos co ciekawe poinformował e-mailowo użytkowników, których urządzenia zostały przejęte oraz w ekspresowym czasie (3 dni) przygotował łatkę.

–ms