Sophos hat vor einigen Tagen das Firmware-Update 9.703 für Sophos UTM (Unified Threat Management), einer auf eigener Hardware basierenden Sicherheitslösung für Firmennetzwerke, bereitgestellt. Vor wenigen Stunden begann der Hersteller darüber hinaus mit der aktiven Verteilung des sicherheitsrelevanten Updates über den Update-Dienst "Up2Date". Er stellte die Verteilung allerdings wieder ein, nachdem das Update auf einigen Systemen gravierende Probleme verursachte.
Sophos auf Ursachensuche
Obwohl die Firmware-Aktualisierung eine Reihe von Schwachstellen in den Sophos UTM-Appliances schließt, sollten Admins sie vorerst keinesfalls installieren. Sophos hat mittlerweile Informationen zu den möglichen Problemen veröffentlicht und die Release-Notes des Firmware-Sicherheitsupdates durch einen (auf das Update bezogenen) "Temporarily Unavailable"-Hinweis ersetzt.
Sophos versucht nach eigenen Angaben derzeit, die Ursache für die Probleme zu ermitteln und will beizeiten eine revidierte Version des Updates veröffentlichen. Derzeit verteilt der Hersteller ein so genanntes Pattern-Update zur Korrektur. Dieses soll das bereits installierte Update von allen UTMs entfernen, die es innerhalb der letzten Stunden über die Up2Date-Server bezogen haben. Eine manuelle Deinstallation ist also nicht notwendig.
Zugriffs- und Zugriffsprobleme
Ein neuer Supportbeitrag von Sophos nennt als mögliche Probleme infolge des fehlerhaften Updates Schwierigkeiten beim administrativen Zugriff über die WebAdmin-GUI sowie mit der Firewall in Zusammenhang stehende Verbindungs-/Traffic-Probleme.
Ein wenig konkreter beschreibt dies ein Nutzer in einem Thread im Sophos-Forum. Bei ihm wurden nach Installation des Firmware-Updates alle ausgehenden Verbindungen aus der Laborumgebung gestoppt und ließen sich auch nicht mehr aufbauen. Selbst interne Netzwerkverbindungen hätten immer wieder kurzzeitig ausgesetzt.
Andere Benutzer bestätigten im selben Forenthread die im Sophos-Supportbeitrag beschriebenen Anmeldeschwierigkeiten an der WebAdmin-GUI.
Quelle: Sophos zieht problematisches Firmware-Update 9.703 für UTM zurück | heise online
Update 27.04.2020:
Hacker nutzen Zero-Day-Lücke in Sophos-Firewall aus
Unbekannte stehlen Dateien mit Anmeldedaten von Firewall-Administratoren und lokalen Nutzern. Sophos findet keinen Hinweis auf einen Missbrauch dieser Daten. Inzwischen steht ein Notfall-Update für die Schwachstelle zur Verfügung.
Sophos hat am Samstag ein außerplanmäßiges Sicherheitsupdate veröffentlicht. Es soll eine Zero-Day-Lücke in der Sophos XG Enterprise Firewall schließen, die aktiv von Hackern ausgenutzt wird. Aufmerksam wurde das Unternehmen auf die Schwachstelle durch den Fehlerbericht eines Kunden.
Der Kunde meldete demnach „einen verdächtigen Wert in einem Feld des Management-Interface“. Eine Untersuchung ergab, dass es sich dabei nicht um einen Fehler in der Firewall, sondern um einen aktiven Angriff handelt.
Die unbekannten Angreifer nutzten einen zuvor unbekannte SQL-Injection-Lücke, um auf XG-Firewall-Geräte zuzugreifen. Einer Sicherheitsmeldung von Sophos zufolge richteten sich die Attacken gegen Firewall-Geräte, bei denen das Administrations-Panel oder das User Portal über das Internet erreichbar waren.
Die SQL-Injection-Lücke wiederum nutzten die Hacker, um Schadsoftware einzuschleusen. Die Malware sollte Dateien von der XG Firewall stehlen. Sie enthielten möglicherweise Daten wie Nutzernamen und gehashte Passwörter von Administratoren sowie Anmeldedaten für einen Fernzugriff auf die Firewall.
Sophos zufolge fanden sich keine Hinweise darauf, dass die gestohlenen Daten tatsächlich benutzt wurden, um auf XG-Firewall-Geräte oder irgendetwas jenseits der Firewall zuzugreifen. Auch seien keine Anmeldedaten für Kundensysteme wie Active Directory oder LDAP betroffen.
Der Patch wird Sophos zufolge nun an Geräte verteilt, bei denen die automatische Updatefunktion aktiviert ist. „Dieser Hotfix eliminiert die SQL-Injection-Schwachstelle, was eine weitere Ausnutzung verhindert“, teilte das britische Unternehmen mit. Zudem würden mögliche Folgen eines Angriffs beseitigt. Darüber hinaus fügt das Update ein Feld zum Control Panel hinzu, das über eine mögliche Kompromittierung informiert.
Kunden, deren Geräte gehackt wurden, sollten des Weiteren die Passwörter für Portal- und Geräte-Administratoren sowie alle lokalen Nutzerkonten zurücksetzen und die Geräte neu starten. Zudem sollten die Ports für die Administrator-Zugänge deaktiviert werden, falls sie nicht benötigt werden.
Quelle: Hacker nutzen Zero-Day-Lücke in Sophos-Firewall aus | ZDNet.de
Update 22.06.2020:
Sicherheitsupdate: Firmware-Bug gefährdet XG Firewalls von Sophos
Angreifer könnten über ein Schlupfloch in Sophos XG Firewalls Schadcode in Netzwerken ausführen.
Um den Schutz von Sophos XG Firewalls aufrechtzuerhalten, sollten Admins nun veröffentlichte Hotfixes installieren. Damit schließt der Anbieter von Antiviren-Produkten eine Sicherheitslücke.
In einer Meldung warnt Sophos, dass wenn entfernte Angreifer erfolgreich an der Schwachstelle (CVE-2020-11503) ansetzen, Schadcode in Netzwerke gelangen könnte. Grund dafür soll ein Problem in der Komponente awarrensmtp sein, das zu einem Speicherfehler (heap overflow) führt. Konkret betroffen sind alle XG Firewalls bis einschließlich Version 17.5 MR11.
Bislang steht eine Einstufung des Angriffsrisikos noch aus. In der Regel erhalten Remote-Code-Execution-Lücken eine hohe beziehungsweise kritische Einstufung.
Firewalls aktualisieren
Hotfixes gibt es für die Firmwares 17.0, 17.1, 17.5, 17.5 MR11 und 18.0. Wer eine ältere Version einsetzt, sollte diese upgraden. Admins, die die automatische Installation von Hotfixes installiert haben, sollten aus Sicherheitsgründen den Versionsstand prüfen.
Quelle: Sicherheitsupdate: Firmware-Bug gefährdet XG Firewalls von Sophos | heise online