Sophos XG Firewall SQL injection Vulnerability Asnarök
Merhabalar,
Sophos Labs 22 Nisan 2020 tarihinde Sophos XG Firewall Management arayüzlerine erişim sağlayan bir güvenlik açığının(Asnarök Trojan) olduğu raporladı. Bu durum üzerinde Sophos ürün aileleri üzerinde yaptığı detaylı bir araştırma neticesinde saldırının sadece Fiziksel ve Sanal XG Firewall ünitelerinde etkiye yol açtığını keşfedildi.
Saldırının Wan Zone aracılığıyla User Portal veya HTTPS yönetim arayüzünden yapıldığı bilinmekte. Ayrıca Firewall ünitelerinin HTTPS Admin yönetim portu ile User Portal portunun aynı servisi dinlemesi\kullanması neticesinde SSL VPN açıklarının da doğmasına neden olmuştur.
Sophos saldırının etkisi belirlendikten sonra desteklenen tüm Firewall üniteleri için yeni bir Hotfix paketi yayınladı. Yayınlanan bu Hotfix paketi neticesinde SQL injection açığı kapatılmış oldu.
### Peki bu açığa karşı yapmamız gerekenler neler? ###
1- Firewall şifresini değiştirin
System\Administration\Device Access\Default admin password settings
32 karakterli güçlü bir şifre koyarak güvenliğinizi üst seviyelere çıkarabilirsiniz. Unutmayın ne kadar karmaşık şifre verirseniz okadar çözümlenme süresi uzayacaktır.
2- Admin console ve User Portal erişim porlarını değiştirin
System\Administration\Admin Settings\Admin console and end-user interaction
Marka bağımsız Firewall üniteleri kurduğunuzda kesinlikle her servise ayrı ayrı portlar atamanız en sağlıklı yöntem olacaktır.
3-Wan Zone için HTTPS ve User Portal erişimini kapatın. HTTPS erişimini sadece belirli iplere açın
System\Administration\Device Access\Local Service ACL
Eğer Sophos XG Firewallın Admin Console ve User Portal erişim portları zaten farklıysa bu ayarı yaptığınızda SSL VPN ile bağlanan kullanıcılarda sorun olmayacaktır.
Portlar default 443 de bırakılmışsa ve portları değiştirirseniz, bütün kullanıcılar için tekrardan SSL Configlerini indirip kurduktan sonra User Portal erişimini kapatabilirsiniz.
*** Wan Zone erişimini kapatacağınız için Firewall erişimi Public Area için gidecektir. Burada iki işlem yapıalbilir öncelikli olarak Static bir IP adresi olan lokasyondan erişecekseniz ACL_Exception Rule yazabilirsiniz. Yada benim gibi Firewall ünitenizden eminseniz HTTPS Admin erişimini VPN servisi için açabilirsiniz.
4- Otomatik Hotfix yükleme kapalıysa açın.
System\Backup & firmware\Firmware\SFOS hotfix
Otomatik Hotfix enable edildikten sonra her 30 dakikada bir veya Firewall ünitesini reboot edildikten sonra yeni Hotfix paketi varmı yokmu diye kontrol ediyor olacaktır.
Güvenlik açığını kapatmak için yüklenen bu yeni Hotfix paketinden sonra Dashboard ekranında SQL injection açığının temizlendiği ile ilgili bilgiye ulaşabilirsiniz.
5- Pattern Update süresini 15 dakikaya düşürün
System\Backup & firmware\Pattern Updates\Pattern download/installation
Sophos XG Firewall SFM/CFM üzerinden yönetiliyorsa yapılması gereken ayarlar aşağıdaki gibidir.
### Peki saldırı olduğunu analiz ettikten sonra yapmamız gerekenler nelerdir? ###
1- Yukarıdaki ayarları bire bir gözden geçirin
2- Tüm SSL kullanıcılarının şifrelerini değiştirin.
#### Güvenlik Duvarı Saldırı Aşamaları ####
Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist
