Sophos XG-firewalls doelwit van zeroday-aanval
XG-firewalls van Sophos zijn afgelopen week het doelwit van een zeroday-aanval geweest, zo heeft het securitybedrijf zelf bekendgemaakt. Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en gegevens over gebruikers te downloaden.
Het gaat dan om gebruikersnamen en gehashte wachtwoorden voor de lokale beheerder(s), portalbeheerder(s) en gebruikersaccounts voor remote toegang. Sophos stelt dat erop dit moment geen aanwijzingen zijn dat bij de aanvallen er toegang is verkregen tot het lokale netwerk achter de firewall. De eerste aanvallen vonden volgens het securitybedrijf op 22 april plaats.
Gisteren werd er onder klanten die automatisch updaten hebben ingeschakeld een hotfix uitgerold die de kwetsbaarheid verhelp en "overblijfselen" van de aanval verwijdert. Wanneer de firewall is gecompromitteerd krijgen beheerders in hun interface een waarschuwing te zien. Sophos adviseert eigenaren van een gecompromitteerde firewall om de wachtwoorden voor beheerders en gebruikers te resetten en het apparaat te herstarten.
Verder wordt aangeraden om Admin Services en de User Portal niet vanaf het internet toegankelijk te maken. Getroffen klanten zijn via e-mail ingelicht, aldus een klant op Reddit.
Dus..... Wat wil je nou zeggen? Je hebt het over een gratis versie van hun AV software en dit gaat over hun XG Firewall. Ik maak zelf gebruik van de UTM firewall, die is ook gratis voor thuisgebruik. Ik herken je klacht totaal niet. Ik wordt nooit gespammed met vragen om toch maar een betaalde versie te nemen.
In dit geval was er een zero day die het mogelijk maakte je accounts te kapen. Dat is uiteraard kwalijk maar ze hebben het gevonden, en meteen opgelost. Ook krijg je er netjes bericht over. Ik vind dat ze het netjes hebben gedaan.
Wat ik wil zeggen staat er al. Het gaat niet over over de XG firewall, maar wel over de kwalijke houding van Sophos. Het is inmiddels wel duidelijk dat gratis niet bestaat, je betaalt wel op een andere manier. Misschien maar eens controleren wat voor data er richting Sophos gaat van je firewall.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Het is nogal dubbelop toch? Je wilt wel, dat alles veilig/geüpdatet is, maar niet dat ze in jouw systeem kijken.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Het is nogal dubbelop toch? Je wilt wel, dat alles veilig/geüpdatet is, maar niet dat ze in jouw systeem kijken.
Het is geen algehele update maar een update van de telemetry functie.
Uitgebreid verhaal.
Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls
Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Ik denk dat het woord telemetry en beetje vergiftigd is door wat bepaalde bedrijven doen, met name aan de client kant. Daar heb ik ook problemen mee. Maar hoe kan een bedrijf zijn firewall producten veilig houden als er alleen verkeer vanuit Sophos naar de firewall gaat en de firewall niet mg melden dat er gekke dingen gebeuren? Dan blijft dit onzichtbaar. Dus ik denk dat je als XG bezitter blij mag zijn dat een aanval zo snel is gemitigeerd. Het was al opgelost voor er een CVE nummer was afgegeven.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Technisch Security Specialist
De IT in de zorg professionaliseert. De beweging naar de Cloud brengt nieuwe mogelijkheden met zich mee maar ook de noodzaak om op security gebied stappen te zetten. Wil je die stap met ons zetten en werken in een dynamische, moderne IT omgeving? Solliciteer dan op deze veelzijdige functie!
Engineer IT-operations
Nationaal Cyber Security Centrum
Als engineer IT-operations werk je in DevOps-verband samen met de solution-engineers van het NCSC. Die zijn verantwoordelijk voor de implementatie, doorontwikkeling en het applicatief beheer van onze businessapplicaties. Jij vult de Ops-taken in. Jouw grootste uitdaging? Bestaande regels vertalen naar technische oplossingen.
(Senior) Solutions-engineer
Nationaal Cyber Security Centrum
Als (senior) technisch applicatie beheerder/developer ben je verantwoordelijk voor de implementatie, doorontwikkeling en het beheer van een aantal business applicaties en technische voorzieningen van het NCSC. Het gaat hierbij om applicaties en voorzieningen op het gebied van incident- en vulnerability management en malware analyse.