Sophos XG Firewall SQL injection Vulnerability Asnarök

Merhabalar,

Sophos Labs 22 Nisan 2020 tarihinde Sophos XG Firewall Management arayüzlerine erişim sağlayan bir güvenlik açığının(Asnarök Trojan) olduğu raporladı. Bu durum üzerinde Sophos ürün aileleri üzerinde yaptığı detaylı bir araştırma neticesinde saldırının sadece Fiziksel ve Sanal XG Firewall ünitelerinde etkiye yol açtığını keşfedildi.

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Saldırının Wan Zone aracılığıyla User Portal veya HTTPS yönetim arayüzünden yapıldığı bilinmekte. Ayrıca Firewall ünitelerinin HTTPS Admin yönetim portu ile User Portal portunun aynı servisi dinlemesi\kullanması neticesinde SSL VPN açıklarının da doğmasına neden olmuştur.

Sophos saldırının etkisi belirlendikten sonra desteklenen tüm Firewall üniteleri için yeni bir Hotfix paketi yayınladı. Yayınlanan bu Hotfix paketi neticesinde SQL injection açığı kapatılmış oldu.

### Peki bu açığa karşı yapmamız gerekenler neler? ###

1- Firewall şifresini değiştirin

System\Administration\Device Access\Default admin password settings

32 karakterli güçlü bir şifre koyarak güvenliğinizi üst seviyelere çıkarabilirsiniz. Unutmayın ne kadar karmaşık şifre verirseniz okadar çözümlenme süresi uzayacaktır.

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

2- Admin console ve User Portal erişim porlarını değiştirin

System\Administration\Admin Settings\Admin console and end-user interaction

Marka bağımsız Firewall üniteleri kurduğunuzda kesinlikle her servise ayrı ayrı portlar atamanız en sağlıklı yöntem olacaktır.

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

3-Wan Zone için HTTPS ve User Portal erişimini kapatın. HTTPS erişimini sadece belirli iplere açın

System\Administration\Device Access\Local Service ACL

Eğer Sophos XG Firewallın Admin Console ve User Portal erişim portları zaten farklıysa bu ayarı yaptığınızda SSL VPN ile bağlanan kullanıcılarda sorun olmayacaktır.

Portlar default 443 de bırakılmışsa ve portları değiştirirseniz, bütün kullanıcılar için tekrardan SSL Configlerini indirip kurduktan sonra User Portal erişimini kapatabilirsiniz.

*** Wan Zone erişimini kapatacağınız için Firewall erişimi Public Area için gidecektir. Burada iki işlem yapıalbilir öncelikli olarak Static bir IP adresi olan lokasyondan erişecekseniz ACL_Exception Rule yazabilirsiniz. Yada benim gibi Firewall ünitenizden eminseniz HTTPS Admin erişimini VPN servisi için açabilirsiniz.

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

4- Otomatik Hotfix yükleme kapalıysa açın.

System\Backup & firmware\Firmware\SFOS hotfix

Otomatik Hotfix enable edildikten sonra her 30 dakikada bir veya Firewall ünitesini reboot edildikten sonra yeni Hotfix paketi varmı yokmu diye kontrol ediyor olacaktır.

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Güvenlik açığını kapatmak için yüklenen bu yeni Hotfix paketinden sonra Dashboard ekranında SQL injection açığının temizlendiği ile ilgili bilgiye ulaşabilirsiniz.

5- Pattern Update süresini 15 dakikaya düşürün

System\Backup & firmware\Pattern Updates\Pattern download/installation

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

Sophos XG Firewall SFM/CFM üzerinden yönetiliyorsa yapılması gereken ayarlar aşağıdaki gibidir.

Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray
Sophos XG Firewall, Sophos XG Firewall SQL injection, Sophos XG Firewall Invalid Traffic, Sophos XG Firewall Eğitimi, Sophos XG Firewall Kurulumu, Sophos XG Firewall Destek, Sophos XG Firewall Makale, fırat meray

### Peki saldırı olduğunu analiz ettikten sonra yapmamız gerekenler nelerdir? ###

1- Yukarıdaki ayarları bire bir gözden geçirin

2- Tüm SSL kullanıcılarının şifrelerini değiştirin.


#### Güvenlik Duvarı Saldırı Aşamaları ####

Umarım sizler için faydalı bir paylaşım olmuştur.
Fırat Meray | Network and Information Security Specialist