0-dags veikleiki í Sophos XG

26. apríl. 2020

0-dags SQL injection veikleiki

Í gjárkvøldið kom kunning frá Sophos um, at teldusníkar høvdu lopið á Sophos XG eindir, við at nýta ein fyrr ókendan SQL injection veikleika.

Sophos XG er ein sjálvstøðug eind, sum millum annað er firewall tøkniútgerð.

Við at útnytta hendan veikleikan fingu teldusníkarnir atgongd til upplýsingar á sjálvari XG eindini. Hvørjir upplýsingar talan er um, er ymiskt alt eftir, hvussu XG eindin er uppsett. Upplýsingarnir kunnu millum annað verða brúkaranavn og hash'að loyniorð á Sophos XG administrator brúkarum, portal administratorum og fjaratgongd brúkarum.

SQL injection álopið var rættað teimum eindum, hvørs umsitingarpanel (HTTPS) ella User Portal vórðu atkomilig frá internetinum.

 

Trygdardagføring send út

Í gjár byrjaði Sophos at senda út trygdardagføring til tær XG útgávur, sum Sophos veitir support til, sum eru SFOS 17.1, 17.5 og 18.0. Um tín XG eind er sett upp til sjálvvirkin at installera dagføringar (hotfix), vil hendan dagføringin blíva installera uttan at tær nýtist gera nakað. Sjálvvirkandi dagføring kann sláast til á "Backup & Firmware" > "Firmware" og síðan seta flugubein í teigin "Allow automatic installation of hotfixes".

Um tú nýtir eina eldri útgávu, er neyðugt at uppstiga útgávuna fyri at verja teg móti veikleikanum.

 

Umráðandi at kannað, um tín eind er álopin

Sjálvt um tín eind verður dagførd sjálvvirkin, er umráðandi at tú ritar inn á XG eindina og kannar, um hon er álopin.

Tá tú ritar inn á administratorpanelið, vilt tú síggja, at har eru eini nýggj boð frá Sophos. Hesi boðini vísa tær, um tín eind er blivin álopin ella ikki. Eitt dømi um, hvussu boðini kunnu síggja út, sæst herundir:

Boð frá Sophos

 

Um tað vísir seg, at tín eind er álopin hevur Sophos hesi ráðini:

  1. Nulstilla portal administratorin og XG administratorin
  2. Sløkk og tendra XG eindina
  3. Nulstilla loyniorð hjá øllum brúkarunum
  4. Um XG loyniorðini eru endurnýtt á øðrum tænastum, verður viðmælt eisini at broyta tey loyniorðini

 

Lat so lítið sum gjørligt verða atkomiligt frá internetinum

Tað er umráðandi, at tú kannar eftir, um tú hevur tørv á at administratorpanelið ella User Portal skal verða atkomiligt frá internetinum. Um tað á nakran hátt er gjørligt, so verður tað viðmælt, at hesir partar einans eru atkomiligir frá lokala netinum. 

Fyri at tryggja tær, at tað ikki er atkomiligt frá internetinum, kanst tú fara til "Administration" > "Device access" og strika flugubeinini frá WAN teiginum undir "HTTPS" og "User Portal", sum tað sæst herundir:

Device Access

 

Les kunningina frá Sophos her: https://community.sophos.com/kb/en-us/135412

Les her, hvussu tú setur upp sjálvvirkandi dagføringar: https://community.sophos.com/kb/en-us/135415

Les her, hvussu tú stýrir atgongd til eindina frá internetinum: https://community.sophos.com/kb/en-us/135414