Sophos緊急修補旗下防火牆已遭開採的零時差漏洞

Sophos 於4/27發布一項關於旗下產品XG Firewall(包含實體機及虛擬的版本)之SQL injection漏洞,此事件影響到多家企業用戶,Sophos在接獲用戶通報後也立即釋出了修補程式。

協科資訊在第一時間也立即通知使用XG Firewall的客戶們,請他們確認是否已修補了此漏洞,並觀察是否受到駭客的攻擊,確保不因此漏洞而讓客戶的機密資料外洩及權益受損。

此次漏洞受到影響的有哪些Sophos XG Firewall(SFOS)韌體版本? 該漏洞影響了Sophos XG Firewall(含Virtual XG Firewall)上所有的韌體版本。所有的XG Firewall韌體/SFOS (17.0、17.1、17.5、18.0) 均會接收到此修復程序並自動更新。使用舊版SFOS版本的客戶也可以立即升級到最新支援的版本來啟動保護。

此漏洞會影響到管理員介面(HTTPS管理員服務)或使用者portal暴露於WAN zone的防火牆產品。另外,手動設定以共用同一傳輸埠作為管理或用戶portal的,以致於暴露於WAN zone的防火牆服務(即SSLVPN)也會受到影響,攻擊者會利用XG Firewall的驗證前(pre-auth)SQL Injection漏洞存取這些防火牆產品,植入惡意程式以竊取防火牆中的檔案,但是外部驗證系統像是AD或LDAP相關的密碼,則不受影響。

對於已成功安裝修復的XG Firewall,我們還是強烈建議執行以下附加步驟來完全修復此問題,避免資料已外洩而造成損失,並且可以自己檢視管理介面是否有遭受到駭客攻擊的記錄:

1.重置設備管理帳號密碼

2.重新啟動XG Firewall設備

3.重置所有本機帳號密碼

4.儘管密碼已是加密(Hashed),建議可能已重新使用XG credentials的所有帳號重置密碼。

詳文請見iThome 原文新聞稿