CENTIO#KNOWLEDGEBASE

XG Firewall - SQL injection уязвимост

Owned by Presian Yankulov
Last updated: May 23, 2020
5 min read

Проблем

Уязвимост в SFOS позволява изпълнение на зловреден код върху хардуерните и виртуални устройства Sophos XG. Потенциално засегнати са всички устройства с достъпен от интернет административен портал (HTTPS услуга) и/или потребителски портал (User Portal).

Обновено - 27/04/2020:
Защитните стени, конфигурирани ръчно, за да публикуват услуга на защитната стена (напр. SSL VPN) от WAN зоната, която споделя същия порт като административният или Потребителския портал (User Portal), също са били уязвими.

Добавено на 22.05.2020 - Sophos продължават да работят върху подобряване на сигурността в Sophos XG и предприемат допълнителни мерки за защита на своите потребители.
В следствие на това автоматично е приложен hotfix - HF052220.1, който ще блокира достъпа до устройството за локалните потребители, които не са сменили своите пароли след 25 Април 2020г.
Забележка - потребителските акаунти, които са синхронизирани през Active Directory (LDAP) не са засегнати от тази промяна.

За пълна информация и детайлно описание на това как да смените лесно паролите на всички локални акаунти - Sophos XG Firewall: Local User Password Reset:

Добавено на 06.05.2020 - Sophos предприемат допълнителни мерки за защита, като добавят CAPTCHA :

Решение

(вижте цялото изображение)

(вижте цялото изображение)

  1. Смяна на паролите за локалните акаунти с административен достъп:
    (Authentication > Users)

    (изображението в пълен размер)

  2. Смяна на супер-потребителската парола за “admin”. Научете повече тук.

    1. В случай на интеграция с LDAP / Active Directory / RADIUS, препоръчваме смяна на паролата на акаунта използван за синхронизация (Authentication > Servers) :

       

    2. В случай, че се използва същият акаунт от подточка а) за Single-Sign-On интеграция (STAS), е необходима промяна на паролата в STAS приложението, което е инсталирано върху Domain Controller сървърите:

       

  3. Рестартиране на устройството;

     

  4. Въпреки, че паролите не са съхранявани в чист вид, а хеширани. Смяна на паролите за всички локални потребителски акаунти. Ако същите пароли се преизползват и на други места / услуги, е препоръчително да бъдат сменени и там.
    Тук е описано как да идентифицирате и различите кои потребители са локални.

За най - актуалната и пълна информация, следете KB страницата на Sophos, където производителят ще публикува всичко свързано с този случай.

Обновено - 27/04/2020:
SophosLabs публикуваха резултатите от проведеното разследване относно тази атака (Asnarök). Статията включва пълна техническа информация , включително и Indicators of Compromise (IoC).
Зловредният код притежава способността да извлича информация, която се съхранява върху защитната стена:

  • Лицензионен и сериен номер на устройството;

  • Списък с имейл адресите на потребителските акаунти, съхранени на устройството;

  • Имейл адреса асоцииран с “admin” потребителя;

  • Имейл адреса използван за регистрация и синхронизация с Licensing Portal (MySophos);

  • Имената, потребителските имена, “осоленият” хеш (SHA256) на паролата на администраторския акаунт. Sophos XG не се съхранява паролите в чист текст;

  • Списък на потребителските идентификационни номера, за които е разрешено да използват SSL VPN и акаунти, на които е разрешено да използват clientless VPN.

Обновено - 30/04/2020:
Sophos пуснаха нов firmware - XG Firewall 17.5 MR12, който адресира тази уязвимост - тоест не е необходим hotfix patch.
Ъпдейта ще бъде достъпен чрез ръчно изтегляне от Licensing Portal, като постепенно (rolling out) ще бъде наличен за автоматичен ъпдейт от самите устройства.