Sophos XG防火墙SQL注入漏洞通告

发布时间 2020-04-27

0x00 漏洞概述


CVE   ID

暂无

  

2020-04-27

   

SI

  

高危

远程利用

影响范围

所有版本的XG防火墙


0x01 漏洞详情




Sophos XG Firewall是英国Sophos企业的一款防火墙设备。SFOS是运行在其中的一套操作系统。

Sophos于UTC 2020年4月22日20:29收到了有关XG防火墙的报告,该XG防火墙在管理界面中可见可疑字段。调查发现该事件为攻击事件,而不是产品bug。黑客主要针对的是开启HTTPS服务或者用户控制面板暴露在互联网上的Sophos XG Firewall设备。

该攻击使用以前未知的SQL注入漏洞来下载payloads。然后窃取文件,可能包括防火墙管理员,防火墙门户网站管理员以及用于远程访问设备的用户名和哈希密码。但是身份验证系统(例如AD或LDAP)的密码不受影响。

该企业表示,在调查过程中,没有发现黑客使用盗窃的密码访问了客户内网上的XG防火墙设备或防火墙以外的任何内容。


0x02 处置建议


补丁程序会在XG管理界面上提示一条消息,来提示此XG防火墙是否受到此攻击的影响。

方案1:未遭到攻击,直接更新补丁即可。



方案2:如果已遭到攻击,如下图。



对于遭到入侵的设备,Sophos建议采取以下步骤:

1. 重置门户网站管理员和设备管理员帐户

2. 重新启动XG设备

3. 重置所有本地用户帐户的密码

4. 尽管密码是哈希值,但建议重置所有帐户密码

注意:更新此补丁程序后,补丁程序警报消息不会消失。即使已成功应用此补丁程序,以及完成了任何其他操作步骤之后,警报也将持续显示在XG管理界面中。


0x03 相关资讯


https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/


0x04 参考链接


https://community.sophos.com/kb/en-us/135412


0x05 时间线


2020-04-25 Sophos发布更新

2020-04-27  VSRC发布漏洞通告