Suche
Close this search box.

Schlagwort: XG Firewall

Sophos XG Firewall v18
Bedrohung

Sophos XG Firewall SQL injection vulnerability

Das Unternehmen Sophos hat zu einen Hotfix veröffentlicht welche eine Sicherheitslücke, eine SQL injection in der XG Firewall Serie schließt. Die bisher unbekannte Sicherheitslücke konnte ausgenutzt werden um sich Benutzernamen und Passwörter von lokalen Sophos Firewall Konten zu erobern. Am 22. April hat Sophos einen Report erhalten mit einem verdächtigen Feld-Wert im Management Interface. Daraufhin wurde eine Untersuchung gestartet, welche einen Angriff auf physische und virtuelle XG Firewalls zeigte. Das Unternehmen hat sofort reagiert und einen Patch bzw. Hotfix veröffentlicht. Was ist passiert? Wenn bei einer Sophos Firewall das Admin-Interface oder auch das User-Portal auf der WAN Zone verfügbar gemacht wurde, konnten Angreifer über eine unbekannte pre-auth SQL injection sich Informationen vom System verschaffen. Dabei konnten die Daten von lokalen Accounts ausspioniert werden. Darunter waren Benutzernamen, die gehashten Kennwörter, User-Portal Accounts und auch VPN Accounts. Passwörter oder Benutzerkonten von externen Authentifizierungssystemen wie Active Directory oder LDAP waren davon nicht betroffen.  Sophos hat sofort reagiert und mit einem Hotfix diese Lücke geschlossen und auch die Systeme die evtl. betroffen waren bereinigt. Wurde meine XG kompromittiert?  Der Hotfix von Sophos beinhaltet auch eine Nachricht für die Adminstratoren ob ihre Maschine betroffen ist. In den folgenden Screenshots sieht man die Nachricht für Maschinen die betroffen sind/waren und die Maschine bei denen diese Lücke nicht ausgenutzt wurde. Nicht Betroffene XG Firewall: Betroffen XG Firewall: Sollten Sie auf Ihrer Firewall die automatischen Hotfix-Updates deaktiviert haben, lesen Sie hier wie Sie den Hotfix installieren können: https://community.sophos.com/kb/en-us/135415 Was muss man noch beachten? Ist Ihre Firewall von der SQL Injection nicht betroffen so müssen Sie nach der Installation des Hotfix nichts weiter beachten. Für Firewalls die kompromittiert wurden, führen Sie die folgenden Punkte durch um das Problem zu beheben: Setzen Sie das Kennwort für den Administrator-Account zurück | neues, sicheres Kennwort vergeben Rebooten Sie Ihre XG Firewall Setzen Sie alle Kennwörter von lokalen Benutzeraccounts zurück Auch wenn die Kennwörter nur gehasht erobert werden konnten, ist es empfohlen die Kennwörter von sämtlichen Konten zu ändern welche die gleichen credentials verwenden. Wurden also für andere Accounts die gleichen Kennwörter wie für die lokalen Sophos Accounts verwendet, sollten diese ebenfalls geändert werden. Betroffen waren alle Firmware-Versionen der unterstützen Sophos XG Firewall, sowohl physikalisch als auch virtuelle Maschinen. Alle Firmwares erhielten auch den Hotfix (SFOS 17.0, 17.1, 17.5, 18.0). Benutzer mit älteren Firmwareständen wird dringend ein Update empfohlen um auch hier die Sicherheitslücke schließen zu können. Sophos hat im KB Eintrag zu dieser Thematik auch eine Timeline der Attacke veröffentlicht… Timeline of attack All times UTC Day and Time Description 2020-04-22 16:00 Attack begins 2020-04-22 20:29 Sophos receives report of a suspicious field value in an XG Firewall management interface 2020-04-22 22:03 Incident escalated to Sophos internal cybersecurity team 2020-04-22 22:20 Initial forensics started 2020-04-22 22:44 SophosLabs blocks suspect domains found in initial forensics 2020-04-23 06:30 Sophos researchers identify indicators of attack 2020-04-23 07:52 Analysis indicates attack affecting multiple customers – major incident process initiated 2020-04-23 15:47 Sophos notifies Community of initial mitigations 2020-04-23 19:39 Initial attack vector identified as SQL injection attack 2020-04-23 21:40 SophosLabs identifies and blocks additional domains 2020-04-24 03:00 Telemetry update issued to all XG Firewalls 2020-04-24 04:20 Sophos notifies Community of additional mitigations 2020-04-24 05:00 Sophos begins design, development, and testing of hotfix to mitigate SQL injection 2020-04-25 07:00 Sophos began pushing hotfixes to supported XG Firewalls 2020-04-25 22:00 Sophos confirms completion of hotfix rollout to XG Firewall units with auto-update (default) enabled. Weitere Informationen zu der Thematik können Sie hier einsehen. Sophos hat zu dem gesamten Szenario bei SophosLab auch einen Artikel dazu gepostet: “Asnarok” Trojan targets firewalls. Gerne können Sie uns kontaktieren wenn Sie Fragen zu der Sicherheitslücke haben. Unsere Techniker geben Ihnen gerne Auskunft.

Sophos

Sophos XG Firewall v18 EAP Firmware verfügbar

Es gibt gute Neuigkeiten zum Thema Sophos XG. Die neue Firmware v18 Early Access Program (EAP) 1 steht ab sofort zum download bereit. Die neue Firmware kann nun auf Herz und Nieren getestet werden. Sophos hatte bereits im Vorfeld über neue “Key features” berichtet welche in der neuen Firmware enthalten sein sollen. Dazu hat Sophos ein “What´s New in v18” Dokument erstellt die Ihnen die Informationen etwas näher bringen. Anbei hier der Blog-Eintrag von Sophos zum neuen Firmware-Release: Because this is the first build of the v18 release there are a few things we’d like to bring to your attention before you download the firmware and begin testing it. We’ve attempted to make the build as bug-free as possible, however as is the nature of early access firmware we cannot guarantee it will be. Therefore, use the firmware in production at your own discretion. The firmware has yet to be tuned for performance. Expect to see faster speeds in future builds. As part of the EAP we’ll continue to add additional features into future builds. You can find the features in those later builds in the “What’s New in v18” document. Download the v18 EAP 1 Firmware Don’t know where to get the firmware? Go to the XG Firewall v18 EAP page, fill out the online form and you’ll have access to the v18 EAP firmware download. Getting Started Once you’re ready to go, we’ve got some great resources to help you get started: “What’s New in v18” – See the complete feature list with descriptions v18 Interactive training course – Enroll in this interactive training course to learn more about v18 Home page for Sophos Customer Training v18 Admin Guide – Read the latest admin guide for v18 v18 Evaluation Guide Slides – Learn about the features we’d like you to test v18 Public Release Notes – Read the latest notes about the v18 build v18 Known Issues and Limitations – Get information on any known issues, advice for users and incomplete features in v18 Things to Know Before Upgrading Before upgrading to v18 EAP 1 from an earlier version, there are a few things to note: You can upgrade to v18 from v17.5 MR6 or later MR versions of v17.5. Rollback and firmware switch are supported as usual. You can roll back to v17.5 MRx if you experience any issues during the v18 EAP. Backup and restore are supported as usual. SG Firewalls running SFOS, Cyberoam firewalls and XG Firewall backups can be restored on v18. Due to a minimum memory requirement of 4GB of RAM, XG 85 and XG 105 models cannot upgrade to v18 and must remain on a 17.x version. v18 firmware is not supported on Cyberoam models. However, Cyberoam firewall backups can be restored on an XG Firewall running v18. Share Your Feedback Communicating your experiences with the v18 EAP 1 firmware is crucial to its success, so we want to hear from you! Please share your feedback via the Sophos Community or through your XG Firewall’s feedback mechanism in the user interface. How to report a bug? Check out this post that outlines the info needed. Thank you for taking the time to test the v18 EAP 1 release. We’re excited about all the new features this release will bring to Sophos XG users and we appreciate your help making it happen!

Release SFOS 17.05 MR8
XG Firewall

Release SFOS 17.05 MR8

Release SFOS 17.05 MR8  – Sophos hat für die XG-Firewall ein neues Release veröffentlicht… Die neue Version 17.05 MR8 wird nach und nach über das Auto-Update zur Verfügung gestellt. Über das Licensing Portal von Sophos kann die aktuelle Firmware heruntergeladen werden. Wie Sie ein Firmware-Upgrade durchführen können Sie hier nachlesen: https://community.sophos.com/kb/en-us/123285 Hier finden Sie die Liste der Änderungen bzw. der behobenen Probleme der aktuellen Version Release SFOS 17.05 MR8: NC-47055 [Authentication] Support >48 characters password length for Radius Server NC-46680 [Certificates] Completing CSR with certificate breaks SSL VPN NC-48512 [Dynamic Routing (PIM)] Multicast traffic getting stopped after update of interface NC-39749 [Email] Use FQDN in Quarantine Digest NC-40831 [Email] Add capability to increase size of Mail Quarantine area in UI NC-45305 [Email] SPX related reports not being displayed on the GUI NC-48542 [Email] Potential RCE via arbitrary file creation vulnerability NC-49003 [Email] Custom ports for SMTP proxy stopped working after 17.5 NC-46938 [FQDN] FQDNd doesn’t update/create ipset NC-46401 [Import-Export Framework] “/conf” partition is at 100% NC-47095 [Interface Management] TSO changes are not permanent in HA NC-48031 [Interface Management] Wifi client did not get gateway and other config after reboot until enable and re-enable the wifi on client NC-48487 [IPS Engine] Postgres taking high CPU NC-48956 [IPS Engine] Modify IPS TCP Anomaly Detection setting to disabled in default setting NC-46079 [Logging Framework] Garner coredump on aux node following upgrade to 17.5 MR3 NC-46780 [Logging Framework] Reports not being generated when Email Notification feature is enabled NC-46879 [Sandstorm] Add support for Sandstorm’s Frankfurt data centre NC-48718 [Service Object] Unable to edit service object that is assigned to a firewall rule NC-43625 [UI Framework] Adding VLAN interface fails in IE in HA Active-Active mode NC-45371 [UI Framework] Incorrect UI behavior for Web User Activities NC-45495 [Web] Policy Tester UI and overlay issues NC-45724 [Web] Full file download retry failure after 416 (Range Not Satisfiable) being returned by proxy NC-47626 [Web] Web category “Hacking” should be classified as “Objectionable” instead “Acceptable” NC-47075 [Wireless] Export of the WirelessAccessPoint does not contain the Group NC-47115 [Wireless] WirelessAccessPoint includes the wrong value for <DynChan5GHz> NC-47738 [Wireless] XML import is failing for wireless config failing when RADIUS Server and Pending Access Points data is present in import file Sie haben Interesse an der XG Firewall von Sophos? Weitere Informationen erhalten Sie auch hier: https://www.ikomm.de/sophos-xg-firewall/

Nach oben scrollen