Sophos ha corretto una vulnerabilità SQL injection zero-day nel suo XG Firewall dopo aver ricevuto segnalazioni da parte di alcuni clienti che riferivano di aver ricevuto attacchi da parte di hacker sfruttando proprio questo zero-day, come risulta in un rapporto del 22 aprile, in cui era stato visualizzato un valore di campo sospetto nell’interfaccia di gestione di Sophos XG Firewall da parte di un cliente, per la quale Sophos ha avviato un’indagine.
“Sophos ha ricevuto un rapporto il 22 aprile 2020, alle 20:29 UTC relativo a un firewall XG con un valore di campo sospetto visibile nell’interfaccia di gestione. Sophos ha avviato un’indagine e l’incidente è stato determinato come un attacco contro il firewall XG sia fisico che virtuale. L’attacco ha interessato i sistemi configurati con l’amministrazione (servizio HTTPS) o il Portale utenti esposti nella zona WAN”, ha avvertito Sophos.
Questo attacco ha utilizzato una vulnerabilità SQL injection zero-day in precedenza sconosciuta e, a seconda della configurazione del firewall, potrebbe consentire agli aggressori di rubare dati dal firewall, inclusi “nomi utente e password con hash degli amministratori di dispositivi locali, amministratori del portale e account utente utilizzati per l’accesso remoto”.
Sophos afferma che le password associate a sistemi di autenticazione esterni come LDAP e i servizi di Active Directory non risultano accessibili agli aggressori.
Hotfix rilasciato
Ieri Sophos ha iniziato a distribuire questo aggiornamento rapido a tutti i firewall Sophos XG con l’impostazione “Consenti installazione automatica degli aggiornamenti rapidi” abilitata sul dispositivo. Per coloro che hanno disabilitato questa impostazione, è possibile seguire queste istruzioni per installare l’aggiornamento rapido.
“Questo aggiornamento rapido ha eliminato la vulnerabilità di SQL injection che ha evitando un ulteriore sfruttamento, ha impedito al XG Firewall di accedere a qualsiasi infrastruttura attaccante e ha ripulito eventuali residui dall’attacco”, spiegano nel loro bollettino sulla sicurezza.
Sophos afferma di aver completato l’implementazione dell’aggiornamento rapido su tutte le unità XG Firewall che hanno abilitato l’aggiornamento automatico dal 25 aprile 2020 alle 22:00.
Come sapere se il tuo Sophos XG Firewall è stato compromesso
Per aiutare i clienti a determinare se il loro XG Firewall è stato compromesso, l’aggiornamento rapido visualizzerà un avviso sull’interfaccia di gestione XG indicando se il dispositivo è stato compromesso o meno.
Nei dispositivi che non sono stati compromessi, l’aggiornamento rapido visualizzerà un avviso che indica “Aggiornamento rapido applicato per SQL Injection. Il dispositivo NON è stato compromesso” (Hotfix applied for SQL Injection. Your device was NOT compromised).
Avviso mostrato quando Sophos XG Firewall non è stato compromesso
Nei firewall che sono stati compromessi dalla vulnerabilità, l’interfaccia di gestione visualizzerà un messaggio di avviso “Aggiornamento rapido applicato per l’iniezione SQL e parzialmente pulito” (Hotfix applied for SQL Injection and partially cleaned).
Avviso mostrato quando Sophos XG Firewall è stato compromesso
Per i dispositivi compromessi, Sophos consiglia inoltre di eseguire i seguenti passaggi aggiuntivi per assicurarsi che il firewall sia protetto.
1. Ripristino degli account amministratore portale ed account amministratore dispositivo
2. Riavvia i dispositivi XG
3. Reimposta le password per tutti gli account utente locali
4. Nonostante le password siano salvate in formato hash, si consiglia di reimpostare le password per tutti gli account le cui credenziali XG potrebbero essere state riutilizzate
Sophos avverte inoltre che anche dopo aver applicato l’aggiornamento rapido e aver eseguito i passaggi di correzione, questo avviso continuerà ad essere visualizzato nell’interfaccia di gestione.
Potete seguire alert e notizie in tempo reale su Vulnerabilità, Exploits, Attacchi, Codici Malevoli e Cyber-Crime sul nostro profilo Twitter https://twitter.com/euroinformatica o su quello della nostra Security Unit “CyberTeam” su https://twitter.com/CyberTeamClub
