网络安全公司Sophos在周末通知客户，该公司已修复了一个零日漏洞，该漏洞已被利用来向XG Firewall设备传递恶意软件。

Sophos表示，在设备管理界面中发现可疑字段值后，它于4月22日了解到针对XG防火墙的攻击。一项调查显示，攻击者一直在利用以前未知的SQL注入漏洞来入侵暴露的物理和虚拟防火墙。锁定了多个客户。

据该公司称，攻击的目标是具有管理服务或用户门户暴露在互联网中的系统。攻击者显然试图利用安全漏洞下载恶意软件，从而使他们能够从防火墙中窃取数据。

此数据可以包括本地设备管理员，门户网站管理员和为远程访问设置的用户帐户的用户名和密码哈希。该恶意软件还可以访问有关防火墙的信息，存储在设备上的帐户的电子邮件地址以及有关IP地址分配权限的信息。

“与外部身份验证系统（例如AD或LDAP）关联的密码不受影响，” Sophos告诉客户。

攻击开始后不久，Sophos就开始采取措施，并于4月25日推出了SFOS修补程序，该修补程序修补了SQL注入漏洞。一旦应用了此修补程序，还将向用户通知其防火墙是否已作为此次攻击的一部分受到威胁。

Sophos在周日晚间发布的博客文章中透露，攻击者利用SQL注入漏洞将单行命令插入防火墙数据库。此命令导致受影响的设备从远程服务器下载名为Install.sh的Linux Shell脚本。然后，脚本执行了更多的SQL命令，并将更多的文件拖放到了虚拟文件系统上。

攻击中部署的其他脚本旨在确保设备重启后的持久性并创建备份通道。

Sophos研究人员解释说：“最初，Install.sh脚本运行了许多Postgres SQL命令，以修改数据库中某些表的值或将这些表归零，其中之一通常显示设备本身的管理IP地址。” “看来这是试图掩盖攻击，但事与愿违：在某些设备上，shell脚本的活动导致攻击者自己注入的SQL命令行显示在防火墙管理面板的用户界面上。它显示了一行shell命令，而不是应该显示的地址。”

Sophos 将这起与Asnarok攻击有关的恶意软件称为“恶意软件”，并将其归因于“未知的对手”。

该公司解释说：“使用一系列Linux shell脚本来执行攻击时，需要进行大量编排，这些脚本最终下载了为防火墙操作系统编译的ELF二进制可执行恶意软件。”

在它的最初版本咨询，Sophos称，它没有证据表明黑客访问的有针对性的防火墙后面的本地网络什么，但没有进一步的澄清以后删除这句话。随后的博客文章确实说，没有证据表明从防火墙收集的数据确实被泄露。

该网络安全公司已经发布了入侵指标（IoC）和有关攻击的技术详细信息。该公司表示，防火墙没有受到威胁的客户无需采取任何措施。被告知其防火墙已成为攻击目标的用户将需要更改设备上的密码。