Zero day no Sophos XG exigiu patch de emergência no sábado

Paulo Brito
26/04/2020
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Problema foi descoberto durante tratamento de incidente na última quarta-feira. Foi publicado um patch, mas ele só será aplicado se o firewall estiver habilitado para hotfix automático

A Sophos publicou sábado um patch para corrigir uma vulnerabilidade crítica em seu firewall de enterprise XG – ela permite a exfiltração de todos dados de usuários locais e hashes de senhas. Essa hotfix, no entanto, só vai ser aplicada se o administrador não tiver desabilitado a opção “Allow automatic installation of hotfixes” no firewall.

Segundo a empresa, sua equipe recebeu uma mensagem no dia 22, quarta-feira, às 20h30 (16h30 em Brasília), informando a existência de um Firewall XG com um valor de campo suspeito na sua interface de gerenciamento. Segundo o comunicado da empresa, foi iniciada imediatamente uma investigação, determinando-se que o incidente era um ataque contra unidades físicas e virtuais do XG.

O ataque afetou os sistemas configurados por meio da interface de administração (serviço de administração HTTPS) ou pelo portal do usuário na zona WAN. Foram afetados também os firewalls configurados manualmente para expor algum serviço (por exemplo, SSL VPN) à zona WAN na mesma porta que o administrador ou no Portal do usuário.

Hackers usaram o zero day para roubar senhas

O ataque, informou a Sophos, foi feito com a exploração de uma vulnerabilidade de injeção SQL desconhecida, em etapa pré-autenticação, para obter acesso a dispositivos XG expostos. O ataque foi projetado para exfiltrar dados residentes do XG Firewall. Os clientes com firewalls impactados devem assumir que esses dados foram comprometidos. Os dados exfiltrados de qualquer desses firewalls afetados incluem todos os nomes de usuário locais e hashs de senha de todas as contas de usuários locais. Isso inclui, Por exemplo, administradores de dispositivos locais, contas do portal do usuário e contas usadas para acesso remoto. As senhas associadas aos sistemas de autenticação externos, como o Active Directory (AD) ou LDAP, não foram comprometidas.

Veja isso
Thoma Bravo conclui compra da Sophos por US$ 3,9 bilhões
Firewalls da Sophos exigem update urgente

A Sophos informou que imediatamente iniciou uma investigação que incluiu recuperar e analisar os artefatos associados ao ataque. Depois de determinar os componentes e seu impacto, a empresa preparou um hotfix para todas as versões suportadas do XG Firewall / SFOS. Esse hotfix eliminou a vulnerabilidade de injeção de SQL, impedindo uma exploração adicional, impediu o XG Firewall de acessar qualquer infraestrutura do invasor e limpou os dados remanescentes do ataque.

O hotfix inclui uma mensagem na interface de gerenciamento do XG para indicar se o equipamento que está sendo gerenciado foi ou não afetado por esse ataque.

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest