هشدار: تجهیزات Sophos XG Firewall تحت حمله هستند

طبق اعلام سوفوس، این شرکت حملاتی را بر روی تجهیزات XG Firewall مشاهده کرده است. سوفوس با بررسی این حملات، متوجه یک آسیب‌پذیری تزریق SQL شد و برای رفع آن وصله‌ای منتشر کرد.

این حمله بر روی تجهیزات فیزیکی و مجازی XG Firewall رخ داده بود. این حمله سیستم‌هایی را تحت تأثیر قرار می‌داد که رابط مدیریتی (management interface) یا پورتال کاربری آن‌ها از طریق WAN قابل دسترسی بودند. همچنین اگر دیوار آتشی طوری پیکربندی شده باشد که یکی از سرویس‌های دیوار آتش (مثل SSL VPN) از طریق WAN قابل دسترسی باشد و پورت آن با پورتال کاربری یا ادمین یکی باشد نیز، تجهیز می‌تواند مورد حمله واقع شده باشد (البته پیکربندی پیش‌فرض طوری است که همه سرویس‌ها از پورت‌های متمایز استفاده می‌کنند).

در این حمله، از یک آسیب‌پذیری تزریق SQL برای کسب دسترسی به تجهیزات XG استفاده شده و سپس داده‌های مستقر روی تجهیز سرقت می‌شدند. اگر دیوار آتش شما در معرض این آسیب‌پذیری قرار داشته است، باید فرض کنید که داده‌های آن مورد سرقت واقع شده‌اند. داده‌های سرقت شده شامل همه نام‌های کاربری محلی و گذرواژه‌های هش شده حساب‌های محلی است، از جمله ادمین محلی تجهیز، حساب‌های پورتال کاربری و حساب‌های مورد استفاده برای دسترسی از راه دور. گذرواژه‌هایی که برای سیستم‌های احراز هویت خارجی مثل اکتیو دایرکتوری یا LDAP مورد استفاده قرار می‌گرفتند، سرقت نشده‌اند. البته سوفوس تا به حال موردی از تلاش برای دسترسی به تجهیزات با استفاده از اطلاعات سرقت شده را مشاهده نکرده است.

سوفوس یک وصله امنیتی فوری منتشر کرده است که آسیب‌پذیری تزریق SQL را برطرف می‌کند و مانع سوءاستفاده می‌شود. این وصله، مانع برقراری ارتباط تجهیز با زیرساخت‌های مهاجمان نیز می‌شود و اثرات حملات قبلی را پاک می‌کند. پس از اعمال وصله، پیامی در رابط مدیریتی XG نمایش داده می‌شود که نشان می‌دهد آیا تجهیز قبلاً مورد حمله واقع شده است یا خیر.