Aktuelle Mitteilung von SOPHOS mit Handlungsbedarf: SQL-Injection-Schwachstelle und Schadcode in der XG-Firewall/SFOS . Was Sie jetzt tun sollten:
Sophos erhielt am 22. April 2020 um 20:29 UTC einen Bericht über eine XG-Firewall mit einem verdächtigen Feldwert, der in der Verwaltungsoberfläche sichtbar ist. Sophos leitete unverzüglich eine Untersuchung ein und der Vorfall wurde als Angriff auf physische und virtuelle XG Firewall-Einheiten bestimmt. Der Angriff betrifft SFOS-Systeme, die entweder mit der Verwaltungsschnittstelle (HTTPS-Administratordienst) oder dem Benutzerportal konfiguriert wurden, das in der WAN-Zone verfügbar ist. Darüber hinaus sind auch manuell konfigurierte Firewalls betroffen, die einen Firewalldienst (z. B. SSL-VPN) für die WAN-Zone verfügbar zu machen, die denselben Port wie der Administrator oder das Benutzerportal nutzen.
Der Vorfall nutzte eine bisher unbekannte Sicherheitsanfälligkeit bezüglich SQL-Injektion vor der Authentifizierung, um Zugriff auf XG-Geräte zu erhalten. Kunden mit betroffenen Firewalls sollten davon ausgehen, dass wahrscheinlich Daten kompromittiert wurden. Die kompromittierten Daten umfassen alle lokalen Benutzernamen und gehashten Kennwörter aller lokalen Benutzerkonten. Dazu gehören z. B. lokale Geräteadministratoren, Benutzerportalkonten und Konten, die für den Remotezugriff verwendet werden. Kennwörter, die externen Authentifizierungssystemen wie Active Directory (AD) oder LDAP zugeordnet sind, wurden nicht kompromittiert.
Hotfix seit 25.04.2020 verfügbar (Vorteil, wenn“Automatische Installation von Hotfixes zulassen“ aktiviert war = Default)
Sophos begann sofort eine Untersuchung, die das Abrufen und Analysieren der mit dem Angriff verbundenen Artefakte umfasste. Nach der Bestimmung der Komponenten und der Auswirkungen des Angriffs hat Sophos einen Hotfix für alle unterstützten XG Firewall/SFOS-Versionen bereitgestellt. Dieser Hotfix eliminiert die SQL-Injektionssicherheitsanfälligkeit. Der Hotfix muss auf jeder XG-Firewall eingespielt werden – die Hotfixes sind nicht über den Firewall Manager abrufbar.
Der von Sophos bereitgestellte XG Firewall-Hotfix enthält eine Meldung auf der XG-Verwaltungsschnittstelle, um anzugeben, ob eine die XG-Firewall von diesem Angriff betroffen war.
Für nicht kompromittierte XG Firewall-Geräte sind keine zusätzlichen Schritte erforderlich.
Hinweis: Falls Sie "Automatische Installation von Hotfixes zulassen" deaktiviert haben, finden Sie in der folgenden KBA Anweisungen zum Anwenden des erforderlichen Hotfixes: https://community.sophos.com/kb/en-us/135415.
Für kompromittierte XG Firewall-Geräte, die den Hotfix erhalten haben, empfehlen wir dringend die folgenden zusätzlichen Schritte, um das Problem vollständig zu beheben:
- Zurücksetzen von Geräteadministratorkonten; Siehe: https://community.sophos.com/kb/en-us/123732
- Starten Sie das XG-Gerät(n) neu
- Zurücksetzen von Kennwörtern für alle lokalen Benutzerkonten
Obwohl die Kennwörter gehasht wurden, wird empfohlen, Kennwörter für alle Konten, für die die XG-Anmeldeinformationen möglicherweise wiederverwendet wurden, zurückzusetzen.
Hinweis: Die Hotfix-Warnmeldung verschwindet nicht, sobald der Hotfix angewendet wurde. Die vollständige Warnung bleibt in der XG-Verwaltungsschnittstelle sichtbar, auch nachdem der Hotfix erfolgreich angewendet wurde und auch nach Abschluss weiterer Behebungsschritte.
Hinweis: Während Kunden immer ihre eigene interne Untersuchung durchführen sollten, ist Sophos zu diesem Zeitpunkt keine nachfolgenden Remotezugriffsversuche auf XG-Geräte mit den gestohlenen Anmeldeinformationen bekannt.
Obwohl Sophos diese Sicherheitsanfälligkeit behoben hat, ist es sinnvoll, die Angriffsfläche zu reduzieren, wo immer dies möglich ist, indem Sie den Zugriff auf HTTPS Admin Services und Benutzerportal auf der WAN-Schnittstelle deaktivieren. Siehe https://community.sophos.com/kb/en-us/135414
Welche Firmware-Versionen von XG Firewall (SFOS) waren betroffen?
Die Sicherheitsanfälligkeit betraf alle Versionen der XG Firewall-Firmware sowohl auf physischen als auch auf virtuellen Firewalls. Alle unterstützten Versionen der XG Firewall Firmware / SFOS erhielten den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Kunden, die ältere Versionen von SFOS verwenden, können sich schützen, indem sie sofort auf eine unterstützte Version aktualisieren.
Nach der Analyse der Komponenten wurde ein Sophos Labs Uncut Artikel, "Asnarok" Trojan veröffentlicht, der die Mechanik des Angriffs technisch darstellt: https://news.sophos.com/en-us/2020/04/26/asnarok/
(Quelle: Sophos)