image

Sophos XG-firewalls doelwit van zeroday-aanval

zondag 26 april 2020, 09:20 door Redactie, 8 reacties

XG-firewalls van Sophos zijn afgelopen week het doelwit van een zeroday-aanval geweest, zo heeft het securitybedrijf zelf bekendgemaakt. Via een tot dan toe onbekende SQL-injection kwetsbaarheid wisten aanvallers toegang tot Sophos XG-firewalls te krijgen en gegevens over gebruikers te downloaden.

Het gaat dan om gebruikersnamen en gehashte wachtwoorden voor de lokale beheerder(s), portalbeheerder(s) en gebruikersaccounts voor remote toegang. Sophos stelt dat erop dit moment geen aanwijzingen zijn dat bij de aanvallen er toegang is verkregen tot het lokale netwerk achter de firewall. De eerste aanvallen vonden volgens het securitybedrijf op 22 april plaats.

Gisteren werd er onder klanten die automatisch updaten hebben ingeschakeld een hotfix uitgerold die de kwetsbaarheid verhelp en "overblijfselen" van de aanval verwijdert. Wanneer de firewall is gecompromitteerd krijgen beheerders in hun interface een waarschuwing te zien. Sophos adviseert eigenaren van een gecompromitteerde firewall om de wachtwoorden voor beheerders en gebruikers te resetten en het apparaat te herstarten.

Verder wordt aangeraden om Admin Services en de User Portal niet vanaf het internet toegankelijk te maken. Getroffen klanten zijn via e-mail ingelicht, aldus een klant op Reddit.

Image

Reacties (8)
26-04-2020, 09:27 door Anoniem
Sophos wordt steeds vreemder: gratis antivirus software uitdelen waarbij je niets kunt instellen en online moet als je toch de zeer minimale instellingen wilt doen. Ze claimen dat met on-access scanning aan de computer onbeschermd is. Verder het ongevraagd steeds opnieuw lastigvallen van argeloze gebruikers om een "premium" versie te krijgen waar niet om gevraagd is. Ik zie het verschil bijna niet meer met zogenaamde antivirussen en opschoonsoftware die net zulke tactieken gebruiken.
27-04-2020, 00:14 door Anoniem
Door Anoniem: Sophos wordt steeds vreemder: gratis antivirus software uitdelen waarbij je niets kunt instellen en online moet als je toch de zeer minimale instellingen wilt doen. Ze claimen dat met on-access scanning aan de computer onbeschermd is. Verder het ongevraagd steeds opnieuw lastigvallen van argeloze gebruikers om een "premium" versie te krijgen waar niet om gevraagd is. Ik zie het verschil bijna niet meer met zogenaamde antivirussen en opschoonsoftware die net zulke tactieken gebruiken.

Dus..... Wat wil je nou zeggen? Je hebt het over een gratis versie van hun AV software en dit gaat over hun XG Firewall. Ik maak zelf gebruik van de UTM firewall, die is ook gratis voor thuisgebruik. Ik herken je klacht totaal niet. Ik wordt nooit gespammed met vragen om toch maar een betaalde versie te nemen.

In dit geval was er een zero day die het mogelijk maakte je accounts te kapen. Dat is uiteraard kwalijk maar ze hebben het gevonden, en meteen opgelost. Ook krijg je er netjes bericht over. Ik vind dat ze het netjes hebben gedaan.
27-04-2020, 09:53 door Anoniem
@ Vandaag, 00:14 door Anoniem
Wat ik wil zeggen staat er al. Het gaat niet over over de XG firewall, maar wel over de kwalijke houding van Sophos. Het is inmiddels wel duidelijk dat gratis niet bestaat, je betaalt wel op een andere manier. Misschien maar eens controleren wat voor data er richting Sophos gaat van je firewall.
27-04-2020, 10:36 door sjonniev
27-04-2020, 11:01 door Anoniem

Uitgebreid verhaal.

Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls

Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
27-04-2020, 15:28 door Anoniem
Door Anoniem:
Uitgebreid verhaal.

Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls

Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Hoe zou je dan willen, dat er bij jou updates uitgevoerd worden, als het bedrijf in kwestie niet bij die informatie kan komen op jouw device?
Het is nogal dubbelop toch? Je wilt wel, dat alles veilig/geüpdatet is, maar niet dat ze in jouw systeem kijken.
27-04-2020, 20:05 door Anoniem
Door Anoniem:
Door Anoniem:
Uitgebreid verhaal.

Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls

Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.
Hoe zou je dan willen, dat er bij jou updates uitgevoerd worden, als het bedrijf in kwestie niet bij die informatie kan komen op jouw device?
Het is nogal dubbelop toch? Je wilt wel, dat alles veilig/geüpdatet is, maar niet dat ze in jouw systeem kijken.

Het is geen algehele update maar een update van de telemetry functie.
27-04-2020, 21:09 door Anoniem
Door Anoniem:
Uitgebreid verhaal.

Wat mij opvalt is deze regel in https://community.sophos.com/kb/en-us/135412
2020-04-24 03:00 Telemetry update issued to all XG Firewalls

Dat bevestigd mijn vermoeden dat Sophos data verzamelt. Firewalls zijn er om datalekken te beschermen niet om data binnen te halen. Sophos is natuurlijk niet de enige tegenwoordig, maar het valt me wel tegen.

Ik denk dat het woord telemetry en beetje vergiftigd is door wat bepaalde bedrijven doen, met name aan de client kant. Daar heb ik ook problemen mee. Maar hoe kan een bedrijf zijn firewall producten veilig houden als er alleen verkeer vanuit Sophos naar de firewall gaat en de firewall niet mg melden dat er gekke dingen gebeuren? Dan blijft dit onzichtbaar. Dus ik denk dat je als XG bezitter blij mag zijn dat een aanval zo snel is gemitigeerd. Het was al opgelost voor er een CVE nummer was afgegeven.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.