{"id":231082,"date":"2020-04-27T11:38:23","date_gmt":"2020-04-27T09:38:23","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=231082"},"modified":"2024-06-12T23:49:23","modified_gmt":"2024-06-12T21:49:23","slug":"0-day-schwachstelle-in-sophos-xg-firewall-wird-angegriffen","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2020\/04\/27\/0-day-schwachstelle-in-sophos-xg-firewall-wird-angegriffen\/","title":{"rendered":"0-Day-Schwachstelle in Sophos XG Firewall wird angegriffen"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2020\/04\/27\/0-day-schwachstelle-in-sophos-xg-firewall-wird-angegriffen\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Nachdem es Probleme mit der Sophos XG Firewall v18 MR1 gab, musste das Update zur\u00fcckgezogen werden. Jetzt gibt es Berichte, dass die Sophos XG Firewall \u00fcber 0-Day-Exploits angegriffen wird. Sophos hat einen Notfall-Patch zum Schlie\u00dfen der Schwachstelle freigegeben. Hier einige Informationen zu diesem 'Drama' und zu den Angriffen.<\/p>\n<p><!--more--><\/p>\n<h2>Der \u00c4rger mit dem Sophos XG Firewall-Update<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/c7ccb3ae979a44c0bc5f948d8627ae67\" alt=\"\" width=\"1\" height=\"1\" \/>Zuerst ein kurzer R\u00fcckblick. Die Firma hatte vor einigen Wochen Firmware-Updates f\u00fcr die Sophos UTM auf die Version 9.703, sowie ein Update f\u00fcr die Sophos XG Firewall v18 MR1 freigegeben. Mitte April 2020 hatte ich im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/17\/achtung-firmware-sophos-utm-9-703-nicht-installieren\/\">Achtung: Firmware Sophos UTM 9.703 nicht installieren<\/a> darauf hingewiesen, dass diese Firmware wegen gravierender Probleme nicht installiert werden sollte. Sophos musste diese Firmware f\u00fcr die Sophos UTM dann auch zur\u00fcckziehen.<\/p>\n<p>Zu obigem Blog-Beitrag gab es dann den Kommentar von Blog-Leser Matthias Gutowsky (danke daf\u00fcr) mit dem Hinweis, dass das gleiche Problem bei der Sophos XG Firewall existiere. In <a href=\"https:\/\/community.sophos.com\/products\/xg-firewall\/b\/blog\/posts\/xg-firewall-v18-mr1-is-now-available\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Sophos Community-Beitrag<\/a> findet sich der Hinweis vom 14. April 2020, dass auch die Sophos XG Firewall v18 MR1 zur\u00fcckgezogen sei und man an einer neuen Version arbeite. Aber der \u00c4rger geht noch weiter.<\/p>\n<h2>Sophos XG-Firewall wird angegriffen<\/h2>\n<p>Zum Wochenende ist mir bereits nachfolgender Tweet von Catalin Cimpanu unter die Augen gekommen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">BREAKING: Hackers are exploiting a Sophos firewall zero-day<\/p>\n<p>&#8211; Attacks detected on Wednesday<br \/>\n&#8211; Hackers exploited an SQLi to steal device data (creds)<br \/>\n&#8211; Patch pushed out earlier today<br \/>\n&#8211; Patch also removes artifacts from compromised XG firewall systems<a href=\"https:\/\/t.co\/RSeABqz7jc\">https:\/\/t.co\/RSeABqz7jc<\/a> <a href=\"https:\/\/t.co\/c971ypwgao\">pic.twitter.com\/c971ypwgao<\/a><\/p>\n<p>\u2014 Catalin Cimpanu (@campuscodi) <a href=\"https:\/\/twitter.com\/campuscodi\/status\/1254238847879307266?ref_src=twsrc%5Etfw\">April 26, 2020<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Ein Artikel von ZDNet findet sich <a href=\"https:\/\/www.zdnet.com\/article\/hackers-are-exploiting-a-sophos-firewall-zero-day\/\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>, Bleeping Computer hat inzwischen <a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/hackers-exploit-zero-day-in-sophos-xg-firewall-fix-released\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Beitrag<\/a> ver\u00f6ffentlicht.<\/p>\n<h2>Angriff auf die XG-Firewall beobachtet<\/h2>\n<p>In einem <a href=\"https:\/\/web.archive.org\/web\/20200806050703\/https:\/\/community.sophos.com\/kb\/en-us\/135412\" target=\"_blank\" rel=\"noopener noreferrer\">Sicherheitshinweis 135412<\/a> gesteht Sophos ein, dass man am 22. April 2020 um 20:29 UTC einen Bericht \u00fcber ein merkw\u00fcrdiges Verhalten einer XG Firewall erhalten habe. Deren Verwaltungsoberfl\u00e4che zeigte pl\u00f6tzlich einen verd\u00e4chtigen Feldwert.<\/p>\n<h3>Unbekannte SQL-Injection-Schwachstelle ausgenutzt<\/h3>\n<p>Bei der von Sophos eingeleiteten Untersuchung wurde festgestellt, dass es sich bei dem Vorfall um einen Angriff auf physische und virtuelle XG Firewall-Einheiten handelt.<\/p>\n<ul>\n<li>Der Angriff betraf Systeme, die entweder mit der Verwaltungsschnittstelle (HTTPS-Administrationsdienst) oder dem Benutzerportal konfiguriert waren, das in der WAN-Zone offengelegt wurde.<\/li>\n<li>Dar\u00fcber hinaus waren auch Firewalls betroffen, die manuell so konfiguriert waren, dass ein Firewall-Service (z.B. SSL-VPN) der WAN-Zone ausgesetzt war, der denselben Port wie das Verwaltungs- oder Benutzerportal nutzt.<\/li>\n<\/ul>\n<p>Die Standardkonfiguration der XG-Firewall sieht dagegen vor, dass alle Dienste auf eindeutigen Ports arbeiten. Der Angriff nutzte eine zuvor unbekannte Pre-Auth-SQL-Injection-Schwachstelle, um Zugang zu exponierten XG-Ger\u00e4ten zu erhalten. Ziel des Exploits ist es, von der XG Firewall-residente Daten zu exfiltrieren.<\/p>\n<p>Die f\u00fcr jede betroffene Firewall exfiltrierten Daten umfassen alle lokalen Benutzernamen und gehashte Passw\u00f6rter aller lokalen Benutzerkonten. Dazu geh\u00f6ren z. B. lokale Ger\u00e4teadministratoren, Benutzerportalkonten und Konten, die f\u00fcr den Remote-Zugriff verwendet werden. Sophos hat <a href=\"https:\/\/news.sophos.com\/en-us\/2020\/04\/26\/asnarok\/\" target=\"_blank\" rel=\"noopener noreferrer\">diesen Blog-Beitrag<\/a> mit weitergehenden Informationen zu diesem Angriff ver\u00f6ffentlicht.<\/p>\n<blockquote><p>Hinweis: Passw\u00f6rter, die mit externen Authentifizierungssystemen wie Active Directory (AD) oder LDAP verbunden sind, wurden nicht kompromittiert<\/p><\/blockquote>\n<h3>Sophos verteilt Notfall-Patch<\/h3>\n<p>Nachdem die Komponenten und Auswirkungen des Angriffs ermittelt wurden, stellte Sophos ein Hotfix f\u00fcr alle unterst\u00fctzten XG Firewall\/SFOS-Versionen bereit. Dieser Hotfix sollte auf allen betroffenen Ger\u00e4ten, auf denen Auto-Update aktiv ist, bereits eingetroffen sein. Der Hotfix beseitigte die SQL-Injection-Schwachstelle, und sollte eine weitere 0-day-Exploit-Ausnutzung und den Zugriff des Angreifers auf die Infrastruktur per XG-Firewall verhindern. Gleichzeitig sollte der Hotfix alle \u00dcberbleibsel des Angriffs bereinigen.<\/p>\n<blockquote><p>Hinweis: Wurde die Option \"Automatische Installation von Hotfixes zulassen\" deaktiviert, finden sich in <a href=\"https:\/\/web.archive.org\/web\/20200814081421\/https:\/\/community.sophos.com\/kb\/en-us\/135415\" target=\"_blank\" rel=\"noopener noreferrer\">KB 135415<\/a> Hinweise zur Anwendung des erforderlichen Hotfixes.<\/p><\/blockquote>\n<h3>Ist die Sophos XG Firewall kompromittiert?<\/h3>\n<p>Im <a href=\"https:\/\/web.archive.org\/web\/20200806050703\/https:\/\/community.sophos.com\/kb\/en-us\/135412\" target=\"_blank\" rel=\"noopener noreferrer\">Security Advisory<\/a> gibt Sophos einige Hinweise, wie Administratoren erkennen k\u00f6nnen, ob die XG Firewall kompromittiert ist. Der von Sophos eingesetzte Hotfix f\u00fcr die XG-Firewall enth\u00e4lt eine Meldung auf der XG-Verwaltungsoberfl\u00e4che, die anzeigt, ob eine bestimmte XG-Firewall von diesem Angriff betroffen war oder nicht. Ist der Hotfix installiert zeigt eine nicht kompromittierte Sophos XG-Firewall die nachfolgende Nachricht an.<\/p>\n<p><a href=\"https:\/\/sophserv.sophos.com\/repo_kb\/135412\/image\/XG1.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Nicht kompromittierte Sophos XG-Firewall mit Patch\" src=\"https:\/\/sophserv.sophos.com\/repo_kb\/135412\/image\/XG1.png\" alt=\"Nicht kompromittierte Sophos XG-Firewall mit Patch\" width=\"637\" height=\"388\" \/><\/a><br \/>\n(Meldung XG-Firewall, Quelle: Sophos, <a href=\"https:\/\/sophserv.sophos.com\/repo_kb\/135412\/image\/XG1.png\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Wurde der Hotfix erfolgreich installiert und war die Firewall kompromittiert, sollte folgende Nachricht im Control center angezeigt werden.<\/p>\n<p><a href=\"https:\/\/sophserv.sophos.com\/repo_kb\/135412\/image\/XG2.png\" target=\"_blank\" rel=\"noopener noreferrer\"><img loading=\"lazy\" decoding=\"async\" title=\"Kompromittierte Sophos XG-Firewall mit Patch\" src=\"https:\/\/sophserv.sophos.com\/repo_kb\/135412\/image\/XG2.png\" alt=\"Kompromittierte Sophos XG-Firewall mit Patch\" width=\"639\" height=\"389\" \/><\/a><br \/>\n(Kompromittierte Sophos XG-Firewall, Quelle: Sophos, <a href=\"https:\/\/sophserv.sophos.com\/repo_kb\/135412\/image\/XG2.png\" target=\"_blank\" rel=\"noopener noreferrer\">Zum Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Kunden mit kompromittierten Firewalls sollten reagieren und die XG-Ger\u00e4te neu booten. Zudem sollen die Kennw\u00f6rter aller lokaler Benutzerkonten ge\u00e4ndert werden. Details finden sich in <a href=\"https:\/\/web.archive.org\/web\/20200806050703\/https:\/\/community.sophos.com\/kb\/en-us\/135412\" target=\"_blank\" rel=\"noopener noreferrer\">diesem Sophos Advisory<\/a>.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/17\/achtung-firmware-sophos-utm-9-703-nicht-installieren\/\">Achtung: Firmware Sophos UTM 9.703 nicht installieren<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/22\/sophos-firmware-sophos-utm-9-703-revision-diese-woche\/\">Sophos Firmware Sophos UTM 9.703 Revision diese Woche<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2020\/04\/27\/neues-firmware-update-fr-sophos-utm-9-703-3-freigegeben\/\">Neues Firmware-Update f\u00fcr Sophos UTM 9.703-3 freigegeben<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Nachdem es Probleme mit der Sophos XG Firewall v18 MR1 gab, musste das Update zur\u00fcckgezogen werden. Jetzt gibt es Berichte, dass die Sophos XG Firewall \u00fcber 0-Day-Exploits angegriffen wird. Sophos hat einen Notfall-Patch zum Schlie\u00dfen der Schwachstelle freigegeben. Hier einige &hellip; <a href=\"https:\/\/borncity.com\/blog\/2020\/04\/27\/0-day-schwachstelle-in-sophos-xg-firewall-wird-angegriffen\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,7459],"tags":[4328,3836],"class_list":["post-231082","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-software","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231082","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=231082"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/231082\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=231082"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=231082"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=231082"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}