Sophos XG-firewalls doelwit van zeroday-aanval
XG-firewalls van Sophos zijn afgelopen week het doelwit van een zeroday-aanval geweest, zo heeft het securitybedrijf zelf bekendgemaakt. Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en gegevens over gebruikers te downloaden.
Het gaat dan om gebruikersnamen en gehashte wachtwoorden voor de lokale beheerder(s), portalbeheerder(s) en gebruikersaccounts voor remote toegang. Sophos stelt dat erop dit moment geen aanwijzingen zijn dat bij de aanvallen er toegang is verkregen tot het lokale netwerk achter de firewall. De eerste aanvallen vonden volgens het securitybedrijf op 22 april plaats.
Gisteren werd er onder klanten die automatisch updaten hebben ingeschakeld een hotfix uitgerold die de kwetsbaarheid verhelp en "overblijfselen" van de aanval verwijdert. Wanneer de firewall is gecompromitteerd krijgen beheerders in hun interface een waarschuwing te zien. Sophos adviseert eigenaren van een gecompromitteerde firewall om de wachtwoorden voor beheerders en gebruikers te resetten en het apparaat te herstarten.
Verder wordt aangeraden om Admin Services en de User Portal niet vanaf het internet toegankelijk te maken. Getroffen klanten zijn via e-mail ingelicht, aldus een klant op Reddit.
Dus..... Wat wil je nou zeggen? Je hebt het over een gratis versie van hun AV software en dit gaat over hun XG Firewall. Ik maak zelf gebruik van de UTM firewall, die is ook gratis voor thuisgebruik. Ik herken je klacht totaal niet. Ik wordt nooit gespammed met vragen om toch maar een betaalde versie te nemen.
In dit geval was er een zero day die het mogelijk maakte je accounts te kapen. Dat is uiteraard kwalijk maar ze hebben het gevonden, en meteen opgelost. Ook krijg je er netjes bericht over. Ik vind dat ze het netjes hebben gedaan.
Wat ik wil zeggen staat er al. Het gaat niet over over de XG firewall, maar wel over de kwalijke houding van Sophos. Het is inmiddels wel duidelijk dat gratis niet bestaat, je betaalt wel op een andere manier. Misschien maar eens controleren wat voor data er richting Sophos gaat van je firewall.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Het is nogal dubbelop toch? Je wilt wel, dat alles veilig/geüpdatet is, maar niet dat ze in jouw systeem kijken.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Het is nogal dubbelop toch? Je wilt wel, dat alles veilig/geüpdatet is, maar niet dat ze in jouw systeem kijken.
Het is geen algehele update maar een update van de telemetry functie.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Ik denk dat het woord telemetry en beetje vergiftigd is door wat bepaalde bedrijven doen, met name aan de client kant. Daar heb ik ook problemen mee. Maar hoe kan een bedrijf zijn firewall producten veilig houden als er alleen verkeer vanuit Sophos naar de firewall gaat en de firewall niet mg melden dat er gekke dingen gebeuren? Dan blijft dit onzichtbaar. Dus ik denk dat je als XG bezitter blij mag zijn dat een aanval zo snel is gemitigeerd. Het was al opgelost voor er een CVE nummer was afgegeven.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
