Vulnerabilità 0 day su Sophos XG Firewall

A tutti gli utilizzatori di appliance di sicurezza Sophos XG Firewall, apparati firewall perimetrali di nuova generazione, attenzione:

con bollettino di sicurezza ufficiale, Sophos ha comunicato la scoperta di una vulnerabilità 0-day che sfrutta una lacuna nella validazione degli input nelle interfacce web di amministrazione e login utente (es. porta 443), attraverso le quali un attaccante privo di autenticazione può iniettare codice SQL arbitrario nel dispositivo, fino ad ottenerne il completo controllo.

Nello stesso bollettino oltre a confermare la problematica Sophos ha specificato che risultano afflitti i firmware SFOS utilizzati in tutte le versioni degli appliance XG Firewall, sia fisici che virtuali, mettendo a disposizione hotfix per le versioni supportate di SFOS: 17.0, 17.1, 17.5 e 18.0. 

Nell’aggiornamento rapido che Sophos ha distribuito è presente anche un messaggio sull’interfaccia di gestione XG per indicare se un determinato XG Firewall è stato interessato o meno da questo attacco.

Hotfix apllicata a un Firewall NON compromesso (fonte community.sophos.com)
Hotfix apllicata a un Firewall compromesso (fonte community.sophos.com)

Se si rientra nel secondo caso, e quindi si ha subito la compromissione Sophos oltre all’applicazione dell’hotfix consiglia di eseguire i seguenti step:

  • Ripristino delle credenziali amministrative (https://community.sophos.com/kb/en-us/123732);
  • Reboot del/dei device;
  • Reset delle password di tutti gli account locali;
  • Sebbene le password siano state sottoposte a hash, si consiglia di reimpostare le password per tutti gli account in cui le credenziali XG potrebbero essere state riutilizzate;


Come best practice generale sulla sicurezza per ridurre la superficie di attacco laddove possibile, è sempre consigliabile disabilitare i servizi di amministrazione HTTPS sull’interfaccia WAN. Se il portale utenti non viene utilizzato, Sophos consiglia anche di disattivare questo servizio anche sulla WAN. Vedi: https://community.sophos.com/kb/en-us/135414

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *