Sophos lost noodpatch voor zero-day in XG Firewall

Sophos

Beveiligingsspecialist Sophos heeft dit weekend een noodpatch uitgerold voor een zero-daykwetsbaarheid in zijn XG Firewall, die reeds actief door hackers werd misbruikt.

Sophos ontdekte de zero-day afgelopen woensdag, na een bericht van één van zijn klanten. Die meldde dat er “een verdachte veldwaarde” zichtbaar was in de beheerinterface van de firewall-oplossing.

Na onderzoek bleek dat het niet om een softwarefout ging, maar een actieve aanval die zich richt op firewalls waarvan de HTTPS-beheerservice of het gebruikersportaal open staat naar het internet. “De aanval gebruikte een voorheen onbekende kwetsbaarheid voor SQL-injectie om toegang te krijgen tot blootgestelde XG-apparaten”, zegt Sophos in een beveiligingsadvies.

Bestanden stelen

De kwetsbaarheid trof alle versies van XG Firewall op zowel fysieke als virtuele firewalls en werd misbruikt om een payload op het getroffen apparaat te installeren. Daarmee konden aanvallers vervolgens bestanden van de firewall konden stelen.

“Klanten met getroffen firewalls moeten ervan uitgaan dat de gegevens zijn gecompromitteerd”, waarschuwt Sophos. Het gaat daarbij onder meer om gebruikersnamen en (gehashte) wachtwoorden van beheerders en andere gebruikers. Wachtwoorden die worden gebruikt voor externe authenticatiesystemen, zoals Active Directory (AD) of LDAP zijn niet getroffen.

Sophos trof tijdens zijn onderzoek geen bewijs aan dat hackers de gestolen wachtwoorden hebben gebruikt om toegang te krijgen tot XG Firewall-apparaten of andere toepassingen binnen het netwerk.

Noodpatch

Afgelopen weekend werd reeds een noodpatch uitgerold naar alle ondersteunde firewalls om de kwetsbaarheid te verhelpen. De patch werd automatisch geïnstalleerd op firewalls met de automatische updatefunctionaliteit ingeschakeld. Aanvullend wordt een speciale melding in het beheerportaal getoond om aan te geven of de firewall in kwestie al dan niet werd aangevallen.

In geval van een aanval adviseert Sophos om wachtwoorden te resetten en firewall-apparaten opnieuw op te starten. Het bedrijf beveelt ook aan om de beheerinterfaces van de firewall op naar het internet gerichte poorten uit te schakelen, als die functionaliteit niet nodig is.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.