Il 22 aprile Sophos ha ricevuto un rapporto che documentava un valore di campo visibile sospetto nell’interfaccia di gestione di un’appliance Sophos XG Firewall, questo si è rivelato essere causato da un utente malintenzionato che utilizza un nuovo exploit per ottenere l’accesso ed eseguire codice dannoso sulle appliance firewall Sophos XG.
Questa è una nuova vulnerabilità basata su SQL injection in fase di pre-autenticazione (CVE-2020-12271) per ottenere l’accesso ai dati dei residenti del firewall XG, inclusi tutti i nomi utente locali e le password con hash di qualsiasi account utente locale, inclusi account amministratore dispositivo locale, utente account del portale e account utilizzati per l’accesso remoto.
Le password associate a sistemi di autenticazione esterni come Active Directory (AD) o LDAP non sono direttamente a rischio da questa vulnerabilità.
L’attacco può essere eseguito sul firewall Sophos XG sia contro i servizi esposti rivolti all’utente nel caso dell’amministratore.
Sophos ha emesso un aggiornamento rapido, ma solo circa il 25% dei 65.000 firewall XG identificati (fino al 27 aprile) da Rapid7 Labs sembra essere configurato per installare automaticamente le patch. Sophos ha pubblicato i passaggi su come installare manualmente queste correzioni.
Parte del processo di aggiornamento include un controllo per verificare se l’appliance è stata compromessa.
Via Blog di Rapid7
Lascia un commento