0-Day-Schwachstelle in Sophos XG Firewall wird angegriffen

Publiziert am 27. April 2020 von Günter Born

[English]Nachdem es Probleme mit der Sophos XG Firewall v18 MR1 gab, musste das Update zurückgezogen werden. Jetzt gibt es Berichte, dass die Sophos XG Firewall über 0-Day-Exploits angegriffen wird. Sophos hat einen Notfall-Patch zum Schließen der Schwachstelle freigegeben. Hier einige Informationen zu diesem 'Drama' und zu den Angriffen.

Anzeige

Der Ärger mit dem Sophos XG Firewall-Update

Zuerst ein kurzer Rückblick. Die Firma hatte vor einigen Wochen Firmware-Updates für die Sophos UTM auf die Version 9.703, sowie ein Update für die Sophos XG Firewall v18 MR1 freigegeben. Mitte April 2020 hatte ich im Blog-Beitrag Achtung: Firmware Sophos UTM 9.703 nicht installieren darauf hingewiesen, dass diese Firmware wegen gravierender Probleme nicht installiert werden sollte. Sophos musste diese Firmware für die Sophos UTM dann auch zurückziehen.

Zu obigem Blog-Beitrag gab es dann den Kommentar von Blog-Leser Matthias Gutowsky (danke dafür) mit dem Hinweis, dass das gleiche Problem bei der Sophos XG Firewall existiere. In diesem Sophos Community-Beitrag findet sich der Hinweis vom 14. April 2020, dass auch die Sophos XG Firewall v18 MR1 zurückgezogen sei und man an einer neuen Version arbeite. Aber der Ärger geht noch weiter.

Sophos XG-Firewall wird angegriffen

Zum Wochenende ist mir bereits nachfolgender Tweet von Catalin Cimpanu unter die Augen gekommen.

Ein Artikel von ZDNet findet sich hier, Bleeping Computer hat inzwischen diesen Beitrag veröffentlicht.

Angriff auf die XG-Firewall beobachtet

In einem Sicherheitshinweis 135412 gesteht Sophos ein, dass man am 22. April 2020 um 20:29 UTC einen Bericht über ein merkwürdiges Verhalten einer XG Firewall erhalten habe. Deren Verwaltungsoberfläche zeigte plötzlich einen verdächtigen Feldwert.

Unbekannte SQL-Injection-Schwachstelle ausgenutzt

Bei der von Sophos eingeleiteten Untersuchung wurde festgestellt, dass es sich bei dem Vorfall um einen Angriff auf physische und virtuelle XG Firewall-Einheiten handelt.

  • Der Angriff betraf Systeme, die entweder mit der Verwaltungsschnittstelle (HTTPS-Administrationsdienst) oder dem Benutzerportal konfiguriert waren, das in der WAN-Zone offengelegt wurde.
  • Darüber hinaus waren auch Firewalls betroffen, die manuell so konfiguriert waren, dass ein Firewall-Service (z.B. SSL-VPN) der WAN-Zone ausgesetzt war, der denselben Port wie das Verwaltungs- oder Benutzerportal nutzt.

Die Standardkonfiguration der XG-Firewall sieht dagegen vor, dass alle Dienste auf eindeutigen Ports arbeiten. Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Geräten zu erhalten. Ziel des Exploits ist es, von der XG Firewall-residente Daten zu exfiltrieren.

Anzeige

Die für jede betroffene Firewall exfiltrierten Daten umfassen alle lokalen Benutzernamen und gehashte Passwörter aller lokalen Benutzerkonten. Dazu gehören z. B. lokale Geräteadministratoren, Benutzerportalkonten und Konten, die für den Remote-Zugriff verwendet werden. Sophos hat diesen Blog-Beitrag mit weitergehenden Informationen zu diesem Angriff veröffentlicht.

Hinweis: Passwörter, die mit externen Authentifizierungssystemen wie Active Directory (AD) oder LDAP verbunden sind, wurden nicht kompromittiert

Sophos verteilt Notfall-Patch

Nachdem die Komponenten und Auswirkungen des Angriffs ermittelt wurden, stellte Sophos ein Hotfix für alle unterstützten XG Firewall/SFOS-Versionen bereit. Dieser Hotfix sollte auf allen betroffenen Geräten, auf denen Auto-Update aktiv ist, bereits eingetroffen sein. Der Hotfix beseitigte die SQL-Injection-Schwachstelle, und sollte eine weitere 0-day-Exploit-Ausnutzung und den Zugriff des Angreifers auf die Infrastruktur per XG-Firewall verhindern. Gleichzeitig sollte der Hotfix alle Überbleibsel des Angriffs bereinigen.

Hinweis: Wurde die Option "Automatische Installation von Hotfixes zulassen" deaktiviert, finden sich in KB 135415 Hinweise zur Anwendung des erforderlichen Hotfixes.

Ist die Sophos XG Firewall kompromittiert?

Im Security Advisory gibt Sophos einige Hinweise, wie Administratoren erkennen können, ob die XG Firewall kompromittiert ist. Der von Sophos eingesetzte Hotfix für die XG-Firewall enthält eine Meldung auf der XG-Verwaltungsoberfläche, die anzeigt, ob eine bestimmte XG-Firewall von diesem Angriff betroffen war oder nicht. Ist der Hotfix installiert zeigt eine nicht kompromittierte Sophos XG-Firewall die nachfolgende Nachricht an.

Nicht kompromittierte Sophos XG-Firewall mit Patch
(Meldung XG-Firewall, Quelle: Sophos, Zum Vergrößern klicken)

Wurde der Hotfix erfolgreich installiert und war die Firewall kompromittiert, sollte folgende Nachricht im Control center angezeigt werden.

Kompromittierte Sophos XG-Firewall mit Patch
(Kompromittierte Sophos XG-Firewall, Quelle: Sophos, Zum Vergrößern klicken)

Kunden mit kompromittierten Firewalls sollten reagieren und die XG-Geräte neu booten. Zudem sollen die Kennwörter aller lokaler Benutzerkonten geändert werden. Details finden sich in diesem Sophos Advisory.

Ähnliche Artikel:
Achtung: Firmware Sophos UTM 9.703 nicht installieren
Sophos Firmware Sophos UTM 9.703 Revision diese Woche
Neues Firmware-Update für Sophos UTM 9.703-3 freigegeben

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Sicherheit, Software abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.