Bedrijven en organisaties met een Sophos XG-firewall zijn vorige week het doelwit van een zeroday-aanval geworden en hoewel een oplossing inmiddels beschikbaar is zijn er nog duizenden kwetsbare firewalls op internet te vinden. Dat blijkt uit onderzoek van securitybedrijf Rapid7.

De aanval maakte gebruik van een tot dan toe onbekende SQL-injection kwetsbaarheid in de firewall. Daarmee kon de aanvaller verschillende scripts uitvoeren die malware op de firewall installeerden. De malware kon licentie- en serienummer, e-mailadressen van gebruikers en beheerders, gehashte wachtwoorden en een lijst met gebruikers-id's die de vpn-functionaliteit van de firewall mochten gebruiken stelen. In een nieuwe analyse van de aanval stelt Sophos dat het geen aanwijzingen heeft gevonden dat de verzamelde data ook daadwerkelijk door de malware is gestolen.

Na ontdekking van de aanval kwam Sophos met een hotfix die de kwetsbaarheid verhielp en "restanten" van de aanval verwijderde. De hotfix werd automatisch geïnstalleerd bij firewalls die automatisch updaten hadden ingeschakeld, wat de standaardinstelling is. In de praktijk blijkt echter dat veel beheerders deze optie hebben uitgeschakeld.

Rapid7 was benieuwd hoeveel apparaten er kwetsbaar zijn of waren en voerde een internetbrede scan uit. Dit leverde 72.000 unieke ip-adressen van Sophos-apparaten op. Vervolgens werd er gekeken hoeveel van deze apparaten een XG-firewall waren. Dit kon bij 12.500 apparaten op basis van het op te vragen versienummer worden vastgesteld. Daarvan bleken er iets meer dan 2.000 de hotfix te hebben geïnstalleerd. De overige firewalls zijn nog altijd kwetsbaar, aldus Rapid7. Beheerders krijgen dan ook het advies om de hotfix zo snel als mogelijk te installeren.