Sophos ได้ออกมาแพทช์ช่องโหว่แบบ SQL Injection บนผลิตภัณฑ์ XG Firewall ที่ถูกแฮ็กเกอร์นำไปใช้ประโยชน์อย่างแพร่หลาย ทั้งนี้ทาง Sophos ได้รับการแจ้งเกี่ยวกับบั๊กนี้ตั้งแต่วันที่ 22 เมษายนที่ผ่านมา
ซึ่งจากการวิเคราะห์นั้นพบว่าแฮ็กเกอร์สามารถโจมตีระบบได้ทั้งผ่านอินเทอร์เฟซแอดมิน (บริการแอดมินแบบ HTTPS) หรือใช้พอทัลของผู้ใช้ที่เปิดให้เข้าถึงได้ในโซน WAN ซึ่งแม้แต่ไฟร์วอลล์ที่ตั้งค่าด้วยตัวเองที่ใช้พอร์ตเดียวกันกับแอดมินหรือกับ User Portal ก็โดนหางเลขไปด้วย
นอกจากนี้ผู้โจมตียังสามารถใช้ช่องโหว่ SQL Injection เพื่อเข้าถึงอุปกรณ์ XG Firewall ได้ด้วย ซึ่งช่องโหว่นี้ทำให้ผู้โจมตีสามารถดาวน์โหลดไฟล์อันตรายลงมายังอุปกรณ์ได้
ซึ่งการใช้โค้ดอันตรายนี้ ทำให้แฮ็กเกอร์สามารถดูดเอาข้อมูลทั้งชื่อผู้ใช้และรหัสผ่านที่ Hash อยู่ของบัญชีผู้ใช้ทุกรายบนระบบได้ ไม่ว่าจะเป็นแอดมินบนอุปกรณ์เอง บัญชี User Portal ไปจนถึงบัญชีที่ใช้ในการเข้าถึงจากระยะไกลแต่รหัสผ่านของระบบยืนยันตัวตนจากภายนอกอย่างเช่น Active Directory (AD) หรือ LDAP จะไม่โดนแฮ็กไปด้วย ทั้งนี้ Sophos ระบุว่ายังไม่มีหลักฐานบ่งชี้ว่าผู้โจมตีสามารถเข้าถึงเครือข่ายด้านหลังอุปกรณ์ XG Firewall
ตัวอัพเดทแก้ไขนี้ออกมาเพื่อกำจัดช่องโหว่ SQL Injection เพื่อป้องกันการแฮ็กข้อมูล หลังจากนั้นเป็นการระงับไม่ให้ XG Firewall ไปติดต่อกับระบบใดๆ ของผู้โจมตี รวมทั้งล้างข้อมูลอันตรายที่หลงเหลือจากการโจมตีที่ผ่านมา โดยแนะนำให้ผู้ใช้ติดตั้ง Hotfix ตัวนี้เพื่ออุดช่องโหว่โดยเร็ว ส่วนอุปกรณ์ที่โดนแฮ็กไปแล้วก็แนะนำให้รีเซ็ตรหัสผ่านของบัญชีผู้ใช้บนอุปกรณ์ทั้งหมด ทาง Sophos ย้ำว่า ยังไม่ได้รับรายงานที่มีการใช้รหัสผ่านที่ขโมยไปในการเข้าถึงอุปกรณ์ XG ที่ได้รับผลกระทบแต่อย่างใด
ที่มา : GBHackers
from:https://www.enterpriseitpro.net/hackers-exploit-sql-injection-sophos-firewall/
techfeedthai 