image

Duizenden Sophos XG-firewalls kwetsbaar voor aanvallen

dinsdag 28 april 2020, 13:17 door Redactie, 3 reacties

Bedrijven en organisaties met een Sophos XG-firewall zijn vorige week het doelwit van een zeroday-aanval geworden en hoewel een oplossing inmiddels beschikbaar is zijn er nog duizenden kwetsbare firewalls op internet te vinden. Dat blijkt uit onderzoek van securitybedrijf Rapid7.

De aanval maakte gebruik van een tot dan toe onbekende SQL-injection kwetsbaarheid in de firewall. Daarmee kon de aanvaller verschillende scripts uitvoeren die malware op de firewall installeerden. De malware kon licentie- en serienummer, e-mailadressen van gebruikers en beheerders, gehashte wachtwoorden en een lijst met gebruikers-id's die de vpn-functionaliteit van de firewall mochten gebruiken stelen. In een nieuwe analyse van de aanval stelt Sophos dat het geen aanwijzingen heeft gevonden dat de verzamelde data ook daadwerkelijk door de malware is gestolen.

Na ontdekking van de aanval kwam Sophos met een hotfix die de kwetsbaarheid verhielp en "restanten" van de aanval verwijderde. De hotfix werd automatisch geïnstalleerd bij firewalls die automatisch updaten hadden ingeschakeld, wat de standaardinstelling is. In de praktijk blijkt echter dat veel beheerders deze optie hebben uitgeschakeld.

Rapid7 was benieuwd hoeveel apparaten er kwetsbaar zijn of waren en voerde een internetbrede scan uit. Dit leverde 72.000 unieke ip-adressen van Sophos-apparaten op. Vervolgens werd er gekeken hoeveel van deze apparaten een XG-firewall waren. Dit kon bij 12.500 apparaten op basis van het op te vragen versienummer worden vastgesteld. Daarvan bleken er iets meer dan 2.000 de hotfix te hebben geïnstalleerd. De overige firewalls zijn nog altijd kwetsbaar, aldus Rapid7. Beheerders krijgen dan ook het advies om de hotfix zo snel als mogelijk te installeren.

Image

Reacties (3)
28-04-2020, 14:15 door Anoniem
De aanval maakte gebruik van een tot dan toe onbekende SQL-injection kwetsbaarheid in de firewall.

Een SQL server op een firewall. Okeeeej.
Feature creep?
29-04-2020, 10:00 door Anoniem
De hotfix veranderd niet de versienummer. De conclusie dat velen de auto hotfix installatie uit hebben staan op basis van de lijst van Rapid7 is daarom onterecht. Evenals de conclusie dat daarom veel Sophos Firewalls nog vulnerable zijn, ook onterecht.
30-04-2020, 10:56 door Anoniem
Door Anoniem:
De aanval maakte gebruik van een tot dan toe onbekende SQL-injection kwetsbaarheid in de firewall.

Een SQL server op een firewall. Okeeeej.
Feature creep?

Veel firewalls willen een GUI bieden voor niet techy beheerders..daar heb je het al.
En ja dan gaan ze hele php/cgi met SQL oplossingen bouwen waardoor je iptables/pf firewall opeens 32 GB memory nodig heeft en zo lek is als een mandje.
Less is more..maar blijkbaar wil het gros van onnozele beheerders een GUI.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.