Bronnen

https://community.sophos.com/kb/en-us/135412

https://news.sophos.com/en-us/2020/04/26/asnarok/

https://community.sophos.com/kb/en-us/135414

https://www.zdnet.com/article/hackers-are-exploiting-a-sophos-firewall-zero-day/

Risico’s

Succesvolle exploitatie van deze kwetsbaarheid kan een aanvaller in staat stellen om op afstand code uit te voeren op kwetsbare versies van de Sophos XG Firewall.

Aanvallers maken momenteel gebruik van de kwetsbaarheid, om bijvoorbeeld een payload te downloaden of om gegevens zoals gebruikersnamen en gehashte wachtwoorden te exfiltreren. 

Aanbevolen acties

CERT.be raadt aan om de updates toe te passen die door de leverancier beschikbaar worden gesteld, indien uw configuratie de patches niet automatisch heeft toegepast. CERT.be raadt aan om publiek toegankelijke beheer- en configuratietools tot een absoluut minimum te beperken.

Het is aanbevolen om de volgende stappen toe te passen, ook al zijn de apparaten gepatcht:

- Reset administratie accounts, https://community.sophos.com/kb/en-us/123732

- Herstart het XG-apparaat (de XG-apparaten)

- Reset wachtwoorden voor alle lokale gebruikersaccounts

Referenties

https://community.sophos.com/kb/en-us/135415

https://community.sophos.com/kb/en-us/123732