{"id":232067,"date":"2020-05-25T10:01:41","date_gmt":"2020-05-25T08:01:41","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=232067"},"modified":"2020-05-26T00:19:00","modified_gmt":"2020-05-25T22:19:00","slug":"hackerangriff-per-0-day-exploit-auf-sophos-firewalls","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/05\/25\/hackerangriff-per-0-day-exploit-auf-sophos-firewalls\/","title":{"rendered":"Hackerangriff per 0-day-Exploit auf Sophos Firewalls"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/05\/26\/hackerangriff-per-0-day-exploit-auf-sophos-firewalls\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Hacker haben versucht, einen 0-day-Exploit in Sophos Firewalls f\u00fcr Angriffe auszunutzen. Der Hersteller hat aber fix mit einem Patch reagiert, so dass die Angriffe auf aktualisierten Systemen scheiterten.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg04.met.vgwort.de\/na\/f85c6d2dfe86445cb01ad660737abf58\" alt=\"\" width=\"1\" height=\"1\" \/>Ich bin \u00fcber nachfolgenden Tweet auf das Thema aufmerksam geworden, welches ZDNet in <a href=\"https:\/\/www.zdnet.com\/article\/hackers-tried-and-failed-to-install-ransomware-using-a-zero-day-in-sophos-firewalls\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Beitrag<\/a> aufbereitet hat.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">Hackers tried (and failed) to install ransomware using a zero-day in Sophos firewalls <a href=\"https:\/\/t.co\/l4iKYiJgNj\">https:\/\/t.co\/l4iKYiJgNj<\/a> <a href=\"https:\/\/twitter.com\/hashtag\/hacking?src=hash&amp;ref_src=twsrc%5Etfw\">#hacking<\/a> <a href=\"https:\/\/t.co\/6FZucGrsOi\">pic.twitter.com\/6FZucGrsOi<\/a><\/p>\n<p>\u2014 Moix Security (@moixsec) <a href=\"https:\/\/twitter.com\/moixsec\/status\/1264298208395747328?ref_src=twsrc%5Etfw\">May 23, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Das betreffende Update f\u00fcr die Sophos Firewalls steht wohl seit vorige Woche (21.5.2020) zur Verf\u00fcgung.<\/p>\n<h2>Angriffe bereits im April 2020<\/h2>\n<p>Die urspr\u00fcnglichen Angriffe fanden zwischen dem 22. und 26. April statt. In einem seinerzeit ver\u00f6ffentlichten Bericht sagte Sophos, dass ein Angreifer eine SQL-Injection-Schwachstelle (CVE-2020-12271) in der Sophos XG-Firewall entdeckt hatte.<\/p>\n<p>Die Hacker nutzten dann den Zero-Day, um den in die Firewall integrierten PostgreSQL-Datenbankserver anzugreifen und Malware auf dem Ger\u00e4t zu installieren. Bei der urspr\u00fcnglich eingeschleusten Nutzlast handelte sich um einen Trojaner &#8211; den das Unternehmen Asnar\u00f6k nennt. Dieser sammelte Dateien mit Benutzernamen und Kennw\u00f6rtern f\u00fcr Sophos Firewall-Konten. Zus\u00e4tzlich hinterlie\u00dfen die Angreifer zwei Dateien, die als Backdoors fungierten und eine M\u00f6glichkeit boten, infizierte Ger\u00e4te zu kontrollieren.<\/p>\n<p>Als Sophos den Angriff bemerkte, brachte das Unternehmen zeitnah einen Fix heraus. Die Angreifer bemerkten das und gerieten wohl in Panik. Sie modifizierten die Angriffsroutine, um ihren urspr\u00fcnglichen Payload zum Datendiebstahl zu ersetzen und L\u00f6segeldforderungen stellen zu k\u00f6nnen. Weitere Details sind dem ZDNet-Artikel sowie <a href=\"https:\/\/news.sophos.com\/en-us\/2020\/05\/21\/asnarok2\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Sophos-Beitrag<\/a> zu entnehmen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Hacker haben versucht, einen 0-day-Exploit in Sophos Firewalls f\u00fcr Angriffe auszunutzen. Der Hersteller hat aber fix mit einem Patch reagiert, so dass die Angriffe auf aktualisierten Systemen scheiterten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4715,4328],"class_list":["post-232067","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-ransomware","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232067","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=232067"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/232067\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=232067"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=232067"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=232067"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}