[English]Nachdem es Probleme mit der Sophos XG Firewall v18 MR1 gab, musste das Update zurückgezogen werden. Jetzt gibt es Berichte, dass die Sophos XG Firewall über 0-Day-Exploits angegriffen wird. Sophos hat einen Notfall-Patch zum Schließen der Schwachstelle freigegeben. Hier einige Informationen zu diesem 'Drama' und zu den Angriffen.
Anzeige
Der Ärger mit dem Sophos XG Firewall-Update
Zuerst ein kurzer Rückblick. Die Firma hatte vor einigen Wochen Firmware-Updates für die Sophos UTM auf die Version 9.703, sowie ein Update für die Sophos XG Firewall v18 MR1 freigegeben. Mitte April 2020 hatte ich im Blog-Beitrag Achtung: Firmware Sophos UTM 9.703 nicht installieren darauf hingewiesen, dass diese Firmware wegen gravierender Probleme nicht installiert werden sollte. Sophos musste diese Firmware für die Sophos UTM dann auch zurückziehen.
Zu obigem Blog-Beitrag gab es dann den Kommentar von Blog-Leser Matthias Gutowsky (danke dafür) mit dem Hinweis, dass das gleiche Problem bei der Sophos XG Firewall existiere. In diesem Sophos Community-Beitrag findet sich der Hinweis vom 14. April 2020, dass auch die Sophos XG Firewall v18 MR1 zurückgezogen sei und man an einer neuen Version arbeite. Aber der Ärger geht noch weiter.
Sophos XG-Firewall wird angegriffen
Zum Wochenende ist mir bereits nachfolgender Tweet von Catalin Cimpanu unter die Augen gekommen.
BREAKING: Hackers are exploiting a Sophos firewall zero-day
– Attacks detected on Wednesday
– Hackers exploited an SQLi to steal device data (creds)
– Patch pushed out earlier today
– Patch also removes artifacts from compromised XG firewall systemshttps://t.co/RSeABqz7jc pic.twitter.com/c971ypwgao— Catalin Cimpanu (@campuscodi) April 26, 2020
Anzeige
Ein Artikel von ZDNet findet sich hier, Bleeping Computer hat inzwischen diesen Beitrag veröffentlicht.
Angriff auf die XG-Firewall beobachtet
In einem Sicherheitshinweis 135412 gesteht Sophos ein, dass man am 22. April 2020 um 20:29 UTC einen Bericht über ein merkwürdiges Verhalten einer XG Firewall erhalten habe. Deren Verwaltungsoberfläche zeigte plötzlich einen verdächtigen Feldwert.
Unbekannte SQL-Injection-Schwachstelle ausgenutzt
Bei der von Sophos eingeleiteten Untersuchung wurde festgestellt, dass es sich bei dem Vorfall um einen Angriff auf physische und virtuelle XG Firewall-Einheiten handelt.
- Der Angriff betraf Systeme, die entweder mit der Verwaltungsschnittstelle (HTTPS-Administrationsdienst) oder dem Benutzerportal konfiguriert waren, das in der WAN-Zone offengelegt wurde.
- Darüber hinaus waren auch Firewalls betroffen, die manuell so konfiguriert waren, dass ein Firewall-Service (z.B. SSL-VPN) der WAN-Zone ausgesetzt war, der denselben Port wie das Verwaltungs- oder Benutzerportal nutzt.
Die Standardkonfiguration der XG-Firewall sieht dagegen vor, dass alle Dienste auf eindeutigen Ports arbeiten. Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Geräten zu erhalten. Ziel des Exploits ist es, von der XG Firewall-residente Daten zu exfiltrieren.
Die für jede betroffene Firewall exfiltrierten Daten umfassen alle lokalen Benutzernamen und gehashte Passwörter aller lokalen Benutzerkonten. Dazu gehören z. B. lokale Geräteadministratoren, Benutzerportalkonten und Konten, die für den Remote-Zugriff verwendet werden. Sophos hat diesen Blog-Beitrag mit weitergehenden Informationen zu diesem Angriff veröffentlicht.
Hinweis: Passwörter, die mit externen Authentifizierungssystemen wie Active Directory (AD) oder LDAP verbunden sind, wurden nicht kompromittiert
Sophos verteilt Notfall-Patch
Nachdem die Komponenten und Auswirkungen des Angriffs ermittelt wurden, stellte Sophos ein Hotfix für alle unterstützten XG Firewall/SFOS-Versionen bereit. Dieser Hotfix sollte auf allen betroffenen Geräten, auf denen Auto-Update aktiv ist, bereits eingetroffen sein. Der Hotfix beseitigte die SQL-Injection-Schwachstelle, und sollte eine weitere 0-day-Exploit-Ausnutzung und den Zugriff des Angreifers auf die Infrastruktur per XG-Firewall verhindern. Gleichzeitig sollte der Hotfix alle Überbleibsel des Angriffs bereinigen.
Hinweis: Wurde die Option "Automatische Installation von Hotfixes zulassen" deaktiviert, finden sich in KB 135415 Hinweise zur Anwendung des erforderlichen Hotfixes.
Ist die Sophos XG Firewall kompromittiert?
Im Security Advisory gibt Sophos einige Hinweise, wie Administratoren erkennen können, ob die XG Firewall kompromittiert ist. Der von Sophos eingesetzte Hotfix für die XG-Firewall enthält eine Meldung auf der XG-Verwaltungsoberfläche, die anzeigt, ob eine bestimmte XG-Firewall von diesem Angriff betroffen war oder nicht. Ist der Hotfix installiert zeigt eine nicht kompromittierte Sophos XG-Firewall die nachfolgende Nachricht an.
(Meldung XG-Firewall, Quelle: Sophos, Zum Vergrößern klicken)
Wurde der Hotfix erfolgreich installiert und war die Firewall kompromittiert, sollte folgende Nachricht im Control center angezeigt werden.
(Kompromittierte Sophos XG-Firewall, Quelle: Sophos, Zum Vergrößern klicken)
Kunden mit kompromittierten Firewalls sollten reagieren und die XG-Geräte neu booten. Zudem sollen die Kennwörter aller lokaler Benutzerkonten geändert werden. Details finden sich in diesem Sophos Advisory.
Ähnliche Artikel:
Achtung: Firmware Sophos UTM 9.703 nicht installieren
Sophos Firmware Sophos UTM 9.703 Revision diese Woche
Neues Firmware-Update für Sophos UTM 9.703-3 freigegeben
Anzeige