到2020年的SQL注入漏洞仍然存在。
安全公司Sophos的官員周日表示,該公司一個被頻繁使用的防火牆的用戶遭到了0-day攻擊,其目的是竊取用戶名、密碼保護密碼和其他敏感數據。
經過充分研究和開發的攻擊利用了Sophos XG Firewall的完全修補版本中的SQL注入漏洞。有了這個系統,它下載並安裝了一系列腳本,這些腳本最終執行了旨在與用戶名,用戶名,密碼的加密哈希形式以及管理員帳戶密碼的SHA256哈希哈希化的代碼。Sophos已發布了一個緩解漏洞的修補程序。攻擊所針對的其他數據包括防火牆用戶的IP位址分配權限列表;運行的自定義作業系統的版本;CPU的類型;設備上存在的內存量;自上次重啟以來已運行了多長時間;命令行工具ifconfig的輸出;以及用於將IP位址轉換為域名的ARP表。
Sophos研究人員在周日的披露中寫道:「該惡意軟體的主要任務似乎是數據盜竊,它可以通過檢索防火牆中存儲的各種資料庫表的內容以及運行某些作業系統命令來執行。」在每個步驟中,惡意軟體都會收集信息,然後將其連接到一個臨時存儲在防火牆上的文件,其名稱為「Info.xg」。
這些漏洞還從看起來合法地域中下載了惡意軟體。為了逃避檢測,某些惡意軟體刪除了執行該檢測的基礎文件,並僅在內存中運行。惡意代碼使用一種創造性的迴旋方式來確保每次啟動防火牆時都執行該惡意代碼。這些特徵強烈表明,威脅行為者花費了數周或數月的時間為攻擊打下基礎。
複雜性
攻擊表明攻擊者對防火牆的詳細了解只能來自有權訪問該軟體的人,而這可能需要許可證。攻擊者從那裡仔細研究了防火牆,以發現內部工作原理,這些惡意軟體允許下載和安裝使用與合法文件和進程的名稱非常相似的名稱的惡意軟體。
惡意軟體旨在竊取的數據表明,該攻擊旨在使攻擊者能夠通過網絡釣魚攻擊和對用戶帳戶的未經授權訪問來進一步滲透使用防火牆的組織,並且有可能利用針對防火牆或最終用戶的漏洞。Sophos的帖子說,沒有證據表明數據洩露成功,但是也不排除這種可能性。
使攻擊成為可能的零日漏洞是在運行防火牆的自定義作業系統中發現的預認證SQL注入漏洞。Sophos沒有提供有關該漏洞的其他詳細信息。SQL注入利用漏洞通過輸入到易受攻擊的網站中包含的表單中的字符串執行惡意代碼。這些缺陷是無法過濾掉命令的結果。預身份驗證意味著攻擊者無需提供任何憑據即可攜帶執行代碼。
易受攻擊的防火牆的用戶應儘快安裝此修復程序,然後檢查其系統,以獲取先前提到的此處發布的損害的跡象。