0-DAY kwetsbaarheid in SOPHOS XG FIREWALL/SFOS
Bronnen
https://community.sophos.com/kb/en-us/135412
https://news.sophos.com/en-us/2020/04/26/asnarok/
https://community.sophos.com/kb/en-us/135414
https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/
Risico’s
Succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om op afstand code uit te voeren op kwetsbare versies van de Sophos XG Firewall.
Aanvallers maken momenteel gebruik van de kwetsbaarheid, om bijvoorbeeld een payload te downloaden of om gegevens zoals gebruikersnamen en gehashte wachtwoorden te exfiltreren.
Aanbevolen acties
CERT.be raadt aan om de updates toe te passen die door de leverancier beschikbaar worden gesteld, indien uw configuratie de patches niet automatisch heeft toegepast. CERT.be raadt aan om publiek toegankelijke beheer- en configuratietools tot een absoluut minimum te beperken.
Het is aanbevolen om de volgende stappen toe te passen, ook al zijn de apparaten gepatcht:
- Reset administratie accounts, https://community.sophos.com/kb/en-us/123732
- Herstart het XG-apparaat (de XG-apparaten)
- Reset wachtwoorden voor alle lokale gebruikersaccounts