هشدار: تجهیزات Sophos XG Firewall تحت حمله هستند

طبق اعلام سوفوس، این شرکت حملاتی را بر روی تجهیزات XG Firewall مشاهده کرده است. سوفوس با بررسی این حملات، متوجه یک آسیب‌پذیری تزریق SQL شد و برای رفع آن وصله‌ای منتشر کرد.

هشدار: تجهیزات Sophos XG Firewall تحت حمله هستند

طبق اعلام سوفوس، این شرکت حملاتی را بر روی تجهیزات XG Firewall مشاهده کرده است. سوفوس با بررسی این حملات، متوجه یک آسیب‌پذیری تزریق SQL شد و برای رفع آن وصله‌ای منتشر کرد.

این حمله بر روی تجهیزات فیزیکی و مجازی XG Firewall رخ داده بود. این حمله سیستم‌هایی را تحت تأثیر قرار می‌داد که رابط مدیریتی (management interface) یا پورتال کاربری آن‌ها از طریق WAN قابل دسترسی بودند. همچنین اگر دیوار آتشی طوری پیکربندی شده باشد که یکی از سرویس‌های دیوار آتش (مثل SSL VPN) از طریق WAN قابل دسترسی باشد و پورت آن با پورتال کاربری یا ادمین یکی باشد نیز، تجهیز می‌تواند مورد حمله واقع شده باشد (البته پیکربندی پیش‌فرض طوری است که همه سرویس‌ها از پورت‌های متمایز استفاده می‌کنند).

در این حمله، از یک آسیب‌پذیری تزریق SQL برای کسب دسترسی به تجهیزات XG استفاده شده و سپس داده‌های مستقر روی تجهیز سرقت می‌شدند. اگر دیوار آتش شما در معرض این آسیب‌پذیری قرار داشته است، باید فرض کنید که داده‌های آن مورد سرقت واقع شده‌اند. داده‌های سرقت شده شامل همه نام‌های کاربری محلی و گذرواژه‌های هش شده حساب‌های محلی است، از جمله ادمین محلی تجهیز، حساب‌های پورتال کاربری و حساب‌های مورد استفاده برای دسترسی از راه دور. گذرواژه‌هایی که برای سیستم‌های احراز هویت خارجی مثل اکتیو دایرکتوری یا LDAP مورد استفاده قرار می‌گرفتند، سرقت نشده‌اند. البته سوفوس تا به حال موردی از تلاش برای دسترسی به تجهیزات با استفاده از اطلاعات سرقت شده را مشاهده نکرده است.

سوفوس یک وصله امنیتی فوری منتشر کرده است که آسیب‌پذیری تزریق SQL را برطرف می‌کند و مانع سوءاستفاده می‌شود. این وصله، مانع برقراری ارتباط تجهیز با زیرساخت‌های مهاجمان نیز می‌شود و اثرات حملات قبلی را پاک می‌کند. پس از اعمال وصله، پیامی در رابط مدیریتی XG نمایش داده می‌شود که نشان می‌دهد آیا تجهیز قبلاً مورد حمله واقع شده است یا خیر.

 

 

 

پیام نشان داده شده در صورت عدم وقوع حمله

پیام نشان داده شده در صورت وقوع حمله

اقدامات امنیتی

پس از اعمال وصله، در صورتی که تجهیز مورد حمله واقع شده بود، اقدامات زیر را انجام دهید:

  • گذرواژه حساب‌های مدیریتی تجهیز را تغییر دهید.
  • تجهیز XG را راه‌اندازی مجدد (ریبوت) کنید.
  • گذرواژه همه کاربران محلی را تغییر دهید.
  • هرچند گذرواژه‌ها هش شده هستند، توصیه می‌شود در هر حساب کاربری که امکان استفاده از گذرواژه یکسان با تجهیز XG وجود دارد، گذرواژه آن حساب تغییر داده شود.

به طور کلی بهتر است دسترسی به سرویس‌های مدیریتی HTTPS و پورتال کاربری بر روی پورت WAN غیرفعال شود.

 

نسخه‌های آسیب‌پذیر

این آسیب‌پذیری همه نسخه‌های ثابت‌افزار XG Firewall را بر روی تجهیزات فیزیکی و مجازی تحت تأثیر قرار می‌دهد. به‌روزرسانی برای همه نسخه‌های XG Firewall firmware/SFOS منتشر شده است (SFOS 17.0, 17.1, 17.5, 18.0). مشتریانی که از نسخه‌های قدیمی‌تر استفاده می‌کنند می‌توانند SFOS را به نسخه‌های مورد پشتیبانی ارتقاء دهند.

 

منبع: https://community.sophos.com/kb/en-us/135412

کلمات کلیدی