Kontakt

Sophos

Behebung von Sophos XG-Sicherheitslücke mit Hotfix

Sophos erhielt am 22. April 2020 um 20:29 UTC einen Bericht über eine XG Firewall mit einem verdächtigen Feldwert, der in der Verwaltungsoberfläche sichtbar war.

Lesedauer 2 Minuten

Sophos leitete eine Untersuchung ein und der Vorfall wurde als Angriff auf physische und virtuelle XG Firewall-Einheiten ermittelt. Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Geräten zu erhalten. Sie wurde entwickelt, um XG Firewall-residente Daten zu exfiltrieren. Kunden mit betroffenen Firewalls sollten annehmen, dass die Daten kompromittiert wurden.

Wie hat Sophos reagiert?

Sophos begann sofort mit einer Untersuchung, bei der die mit dem Angriff verbundenen Artefakte abgerufen und analysiert wurden. Nachdem die Komponenten und Auswirkungen des Angriffs ermittelt wurden, stellte Sophos ein Hotfix für alle unterstützten XG Firewall/SFOS-Versionen bereit. Dieser Hotfix beseitigte die SQL-Injection-Schwachstelle, die eine weitere Ausnutzung verhinderte, stoppte den Zugriff der XG-Firewall auf die Infrastruktur des Angreifers und bereinigte alle Überbleibsel des Angriffs.

Wurde meine XG-Firewall kompromittiert?

Der von Sophos eingesetzte Hotfix für die XG-Firewall enthält eine Meldung auf der XG-Verwaltungsoberfläche, die anzeigt, ob eine bestimmte XG-Firewall von diesem Angriff betroffen war oder nicht.

Schutz durch Upgrade auf aktuelle Versionen der XG-Firewall-Firmware

Die Schwachstelle betraf alle Versionen der XG-Firewall-Firmware sowohl auf physischen als auch auf virtuellen Firewalls. Alle unterstützten Versionen der XG-Firewall-Firmware / SFOS erhielten den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Kunden, die ältere Versionen von SFOS verwenden, können sich durch ein sofortiges Upgrade auf eine unterstützte Version schützen.

Wichtige Hinweise:

  • Wenn Sie „Automatische Installation von Hotfixes zulassen“ deaktiviert haben, finden Sie im folgenden KBA Hinweise zur Anwendung des erforderlichen Hotfixes: https://community.sophos.com/kb/en-us/135415
  • Die Hotfix-Warnmeldung verschwindet nicht, sobald der Hotfix angewendet wurde. Die vollständige Warnmeldung bleibt in der XG-Verwaltungsoberfläche sichtbar, auch nach erfolgreicher Anwendung des Hotfixes und selbst nach Abschluss aller zusätzlichen Abhilfeschritte.
  • obwohl Kunden immer ihre eigenen internen Untersuchungen durchführen sollten, sind Sophos zu diesem Zeitpunkt keine weiteren Remote-Zugriffsversuche bekannt, die XG-Geräte mit den gestohlenen Zugangsdaten betreffen.

Zum vollständigen Bericht von Sophos.

 

Weitere Beiträge

Alle Artikel ansehen

Auszeichnung, 

Sophos

20 Juli 2023

netgo von Sophos als MDR Service Partner of the Year ausgezeichnet

Im Rahmen der DACH-Partner-Roadshow hat der Security-Spezialist Sophos netgo als MDR Service Partner of the Year ausgezeichnet.
Weiterlesen

Security, 

Sophos

28 Oktober 2021

Sophos ACE: Adaptive Cybersecurity Ecosystem gegen fortschrittliche Bedrohungen

Remote-Work und Homeoffice sind Trends, die aus der heutigen Zeit nicht mehr wegzudenken sind. Immer mehr Arbeitnehmer verrichten ihre berufliche Tätigkeit in den den eigenen vier Wänden, was durch die Corona-Pandemie zusätzlich...
Weiterlesen

Sophos

9 September 2019

Exim Sicherheitslücke ohne Auswirkung auf Sophos Produkte

In den verangengen Tagen wurde die Exim-Schwachstelle CVE-2019-15846 in zahlreichen Foren und Online Magazinen (u. a. heise) bekannt und diskutiert.
Weiterlesen
Sprechen Sie jetzt mit einem Experten!

Als netgo group bringen wir Menschen und Technologien erfolgreich zusammen. Dabei denken wir ganzheitlich, verstehen das Geschäft unserer Kunden und ebnen den Weg für eine smarte und intelligente Digitalisierung.

Mehr erfahren