آسیب پذیری SQL Injection
هکرها یک آسیب پذیری zero day در فایروال های سری Sophos GX شناسایی کرده اند که از طریق آن هکر می تواند حمله ی sql injection را، جهت بدست آوردن اطلاعات از دیتابیس( نام کاربری و پسورد) انجام دهد.
این یک روش حمله قدیمی است که هکر با استفاده از وارد کردن ورودی های مخرب در فیلد های ورودی سایت؛باعث می شود که سیستم به جای اجرا کردن sql اصلی،کدهای هکر را اجرا کند
هکر می تواند از این طریق این آسیب پذیری به پورتال کاربری و دیگر اکانت ها دسترسی از راه دور داشته باشد.
عامل اصلی این zeroday بدافزار ASNAROK است که این بدافزار فایروال ها را مورد حمله قرار می دهد و با استفاده از این آسیب پذیری به هکر اجازه می دهد که یک قطعه کد مخرب را در جدول دیتا بیس وارد کند.
سیستم قربانی بعد از اجرای یک قطعه کد مخرب(shell script لینکوسی ) یک دسترسی از راه دور به هکر می دهد که از طریق آن هکر می تواند یک فایل به نام Sophos.dat را روی سیستم قربانی اجرا کند و از طریق آن می تواند پیکره بندی داده ها را تغییر دهد.
این بدافزار محتویات پایگاه داده را جمع آوری کرده و سپس آنها را به فایروال لینک می کند.این اطلاعات شامل لایسنس ها، شماره سریال فایروال ولیستی از ایمیل حساب های کاربری ذخیره شده در دستگاه می باشد.
Sophos علاوه بر انتشار راهکار برای این مشکل؛ اقداماتی نظیر مسدود کردن دامنه های موجود در حمله ها و ip های مرتبط با آن ها انجام داده است
همچنین کمپانی Sophos برای انتشار CVE این آسیب پذیری درخواستی ارسال نموده و به زودی CVE آن منتشر خواهد شد.
منبع: https://bit.ly/2D0fHVH