Hackers exploram Zero Day em Firewalls do Sophos XG

Hackers exploram Zero Day em Firewalls do Sophos XG . Sophos publicou uma atualização de segurança de emergência no sábado, 25 de abril, para corrigir uma vulnerabilidade Zero Day em seu produto de firewall corporativo XG que estava sendo abusado por hackers.

A Sophos disse que soube do dia zero na quarta-feira, 22 de abril, depois de receber um relatório de um de seus clientes. O cliente relatou ter visto “um valor de campo suspeito visível na interface de gerenciamento”.

Após investigar o relatório, a Sophos determinou que este era um ataque ativo e não um erro em seu produto. 

Hackers abusaram de um bug de injeção de SQLpara roubar senhas

O ataque usou uma vulnerabilidade de injeção SQL anteriormente desconhecida para obter acesso a dispositivos XG expostos“, disse Sophos em um comunicado de segurança hoje.

Os hackers direcionaram os dispositivos do Sophos XG Firewall que tinham sua administração (serviço HTTPS) ou o painel de controle do Portal do Usuário exposto na Internet.

Sophos disse que os hackers usaram a vulnerabilidade de injeção de SQL para baixar uma carga útil no dispositivo. Essa carga útil roubou arquivos do XG Firewall.

Os dados roubados podem incluir nomes de usuário e senhas em hash para o administrador do dispositivo de firewall, para os administradores do portal do firewall e as contas de usuário usadas para acesso remoto ao dispositivo.

Sophos disse que as senhas para outros sistemas de autenticação externos dos clientes, como AD ou LDAP, não foram afetadas.

A empresa disse que, durante sua investigação, não encontrou nenhuma evidência de que hackers usassem as senhas roubadas para acessar dispositivos XG Firewall, ou qualquer coisa além do firewall, nas redes internas de seus clientes.

O que aconteceu?

Em seu site a Sophos diz que recebeu um relatório em 22 de abril de 2020, às 20:29 UTC, sobre um XG Firewall com um valor de campo suspeito visível na interface de gerenciamento. A Sophos iniciou uma investigação e o incidente foi determinado como um ataque contra unidades físicas e virtuais do XG Firewall. O ataque afetou os sistemas configurados com a interface de administração (serviço de administração HTTPS) ou o portal do usuário exposto na zona WAN. Além disso, os firewalls configurados manualmente para expor um serviço de firewall (por exemplo, SSL VPN) à zona WAN que compartilha a mesma porta que o administrador ou o Portal do usuário também foram afetados. Para referência, a configuração padrão do XG Firewall é que todos os serviços operem em portas exclusivas.

O ataque usou uma vulnerabilidade pré-autenticação de injeção SQL , anteriormente desconhecida, para obter acesso a dispositivos XG expostos. Ele foi projetado para exfiltrar dados residentes no XG Firewall. 

A Sophos alerta que os clientes com firewalls impactados devem assumir que os dados foram comprometidos. Os dados filtrados para qualquer firewall afetado incluem todos os nomes de usuário locais e senhas com hash de qualquer conta de usuário local. Por exemplo, isso inclui administradores de dispositivos locais, contas do portal do usuário e contas usadas para acesso remoto. As senhas associadas aos sistemas de autenticação externos, como o Active Directory (AD) ou LDAP, não foram comprometidas.

Sophos imediatamente iniciou uma investigação que incluiu recuperar e analisar os artefatos associados ao ataque. Depois de determinar os componentes e o impacto do ataque, a Sophos implantou um hotfix em todas as versões suportadas do XG Firewall / SFOS. Esse hotfix eliminou a vulnerabilidade de injeção do SQL, o que impediu a exploração adicional, impediu o XG Firewall de acessar qualquer infraestrutura de invasor e limpou os restos do ataque.

A atualização de segurança também adicionará uma caixa especial no painel de controle do XG Firewall para informar aos proprietários do dispositivo se o dispositivo foi comprometido.

Cenário 1 (descomprometido):
hotfix aplicado a um firewall descomprometido

Cenário 2 (comprometido): 
hotfix aplicado e corrigiu com êxito um firewall comprometido

 

Os clientes precisam fazer alguma coisa após a aplicação do hotfix?

Para dispositivos XG Firewall não comprometidos, nenhuma etapa adicional é necessária.

Para dispositivos XG Firewall comprometidos que receberam o hotfix, a Sophos recomenda fortemente as seguintes etapas adicionais para corrigir completamente o problema:

  1. Redefinir contas de administrador do dispositivo
  2. Reinicie o (s) dispositivo (s) XG
  3. Redefinir senhas para todas as contas de usuários locais
  4. Embora as senhas tenham sido divididas em hash, é recomendável que as senhas sejam redefinidas para todas as contas em que as credenciais XG possam ter sido reutilizadas

A Sophos diz que mensagem de alerta do hotfix não desaparece depois que o hotfix é aplicado. O alerta completo permanecerá visível na interface de gerenciamento XG, mesmo após a aplicação do hotfix com êxito e mesmo após a conclusão de etapas adicionais de correção.

Embora os clientes devam sempre conduzir suas próprias investigações internas, neste momento a Sophos diz que não está ciente de quaisquer tentativas subseqüentes de acesso remoto a dispositivos XG afetados usando as credenciais roubadas.

Embora a Sophos tenha corrigido a vulnerabilidade, é sempre uma boa ideia reduzir a superfície de ataque sempre que possível, desativando o acesso aos Serviços de Administração HTTPS e ao Portal do Usuário na interface WAN. Veja aqui !

Quais versões de firmware do XG Firewall (SFOS) foram afetadas?

A vulnerabilidade afetou todas as versões do firmware do XG Firewall nos firewalls físicos e virtuais. Todas as versões suportadas do firmware / SFOS do XG Firewall receberam o hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Os clientes que usam versões mais antigas do SFOS podem se proteger atualizando para uma versão suportada imediatamente.

 

Fonte: The Register & ZDNET & Sophos


 

Veja também:

Sobre mindsecblog 1783 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. Hackers exploram Zero Day em Firewalls do Sophos XG – Information Security
  2. Campanhas de eCrime identificadas capitalizando com o COVID-19
  3. Governo chinês instala câmeras em residências para monitorar população

Deixe sua opinião!