Angriff auf physische und virtuelle XG Firewall-Einheiten – Hotfix seit 24.04.2020 verfügbar
Sophos erhielt am 22. April 2020 um 20:29 UTC einen Bericht über eine XG-Firewall mit einem verdächtigen Feldwert, der in der Verwaltungsoberfläche sichtbar ist. Sophos leitete unverzüglich eine Untersuchung ein und der Vorfall wurde als Angriff auf physische und virtuelle XG Firewall-Einheiten bestimmt.
Der Angriff betrifft:
- SFOS-Systeme, die entweder mit der Verwaltungsschnittstelle (HTTPS-Administratordienst) oder dem Benutzerportal konfiguriert wurden, das in der WAN-Zone verfügbar ist.
- Manuell konfigurierte Firewalls, die einen Firewalldienst (z. B. SSL-VPN) für die WAN-Zone verfügbar machen, die denselben Port wie der Administrator oder das Benutzerportal nutzen.
Der Vorfall nutzte eine bisher unbekannte Sicherheitsanfälligkeit bezüglich SQL-Injektion vor der Authentifizierung, um Zugriff auf XG-Geräte zu erhalten. Kunden mit betroffenen Firewalls sollten davon ausgehen, dass wahrscheinlich Daten kompromittiert wurden. Die kompromittierten Daten umfassen alle lokalen Benutzernamen und gehashten Kennwörter aller lokalen Benutzerkonten. Dazu gehören z. B. lokale Geräteadministratoren, Benutzerportalkonten und Konten, die für den Remotezugriff verwendet werden.
Kennwörter, die externen Authentifizierungssystemen wie Active Directory (AD) oder LDAP zugeordnet sind, wurden nicht kompromittiert.
Hotfix seit 25.04.2020 verfügbar
(Vorteil, wenn“Automatische Installation von Hofixes zulassen“ aktiviert war = Default)
Nach der Bestimmung der Komponenten und der Auswirkungen des Angriffs hat Sophos einen Hotfix für alle unterstützten XG Firewall/SFOS-Versionen bereitgestellt. Dieser Hotfix eliminiert die SQL-Injektionssicherheitsanfälligkeit. Der Hotfix muss auf jeder XG-Firewall eingespielt werden – die Hotfixes sind nicht über den Firewall Manager abrufbar.
Der von Sophos bereitgestellte XG Firewall-Hotfix enthält eine Meldung auf der XG-Verwaltungsschnittstelle, um anzugeben, ob eine die XG-Firewall von diesem Angriff betroffen war.
Für nicht kompromittierte XG Firewall-Geräte sind keine zusätzlichen Schritte erforderlich.
Wichtige Hinweise von Sophos:
- Falls Sie „Automatische Installation von Hotfixes zulassen“ deaktiviert haben, finden Sie in der folgenden KBA Anweisungen zum Anwenden des erforderlichen Hotfixes: https://community.sophos.com/kb/en-us/135415
- Für kompromittierte XG Firewall-Geräte, die den Hotfix erhalten haben, empfiehlt Sophos dringend folgende zusätzlichen Schritte, um das Problem vollständig zu beheben:
- Zurücksetzen von Geräteadministratorkonten; unter: https://community.sophos.com/kb/en-us/123732
- Starten Sie das XG-Gerät(n) neu
- Zurücksetzen von Kennwörtern für alle lokalen Benutzerkonten
- Obwohl die Kennwörter gehasht wurden, wird empfohlen, dass Kennwörter für alle Konten zurückgesetzt werden, für die die XG-Anmeldeinformationen möglicherweise wiederverwendet wurden.
- Die Hotfix-Warnmeldung verschwindet nicht, sobald der Hotfix angewendet wurde. Die vollständige Warnung bleibt in der XG-Verwaltungsschnittstelle sichtbar, auch nachdem der Hotfix erfolgreich angewendet wurde und auch nach Abschluss weiterer Behebungsschritte.
- Während Kunden immer ihre eigene interne Untersuchung durchführen sollten, ist Sophos zu diesem Zeitpunkt keine nachfolgenden Remotezugriffsversuche auf XG-Geräte mit den gestohlenen Anmeldeinformationen bekannt.
- Obwohl Sophos diese Sicherheitsanfälligkeit behoben hat, ist es sinnvoll die Angriffsfläche zu reduzieren, wo immer dies möglich ist, indem Sie den Zugriff auf HTTPS Admin Services und Benutzerportal auf der WAN-Schnittstelle deaktivieren: https://community.sophos.com/kb/en-us/135414
Welche Firmware-Versionen von XG Firewall (SFOS) waren betroffen?
- Die Sicherheitsanfälligkeit betraf alle Versionen der XG Firewall-Firmware sowohl auf physischen als auch auf virtuellen Firewalls.
- Alle unterstützten Versionen der XG Firewall Firmware / SFOS erhielten den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0).
- Kunden, die ältere Versionen von SFOS verwenden, können sich schützen, indem sie sofort auf eine unterstützte Version aktualisieren.