Seguridad

Sophos XG SQL Injection

By Mayo 5, 2020 No Comments
Sophos-XG-Firewall

Vulnerabilidad SQL Injection - Sophos XG

El pasado 24 de abril, Sophos advirtió de un ataque coordinado iniciado el día 22 de abril de 2020 hacia toda plataforma Sophos XG (Ex Cyberoam). El impacto de este ataque es de carácter CRITICAL ya que permite la fuga de información (exfiltración), modificación de objetos desde la base de datos y posible control remoto de los equipos Sophos XG afectados mediante una vulnerabilidad del tipo SQL Injection. Puede usted buscar el por el CVE-2020-12271 publicado en la base de datos de vulnerabilidades de NIST. El mismo día 24 de abril de 2020, Sophos liberó un HOTFIX el cual fue desplegado a nivel mundial en el transcuro del 24 y madrugada del 25 de abril de 2020. Compunet, se encargó de forzar la aplicación de este HOTFIX el día 25 de abril e informamos a todos nuestros clientes de las actividades realizadas.

Lo anterior, inició producto de una vulnerabilidad el tipo 0 day descubierta por uno (o grupo) de ciberdelincuentes la cual le permitió ingresar una linea de comando en la base de datos explotando esta vulnerabilidad de 0 day del tipo SQL Injection y empleando, para descargar un scrip malicioso, un dominio creado especialmente para este ataque: sophosfirewallupdate.com. Este script (x.sh) creado especialmente para el sistema operativo de Sophos XG, se encarga de inyectar comandos en la base de datos interna de Sophos XG (Postgresql) y, si es exitoso, logra inyectar nuevos comandos al sistema operativo, ademas, este script descarga dos script adicionales en el directorio /tmp del sistema operativo y un binario ELF con el cual se garantiza la persistencia.

El objetivo: Exfiltrar información. La información que el malware exfiltra corresponde a IP publicas, internas, licencias, usuarios administrativos, usuarios vpn y políticas vpn.

 

La solución: Sophos liberó el pasado 24 de abril un HOTFIX el cual ha sido aplicado de forma automática a todos los equipos Sophos XG.

Hoy, SOPHOS está llamando a cambiar las contraseñas administrativas existentes en cada equipo SOPHOS XG. Lo anterior, debido a que los equipos que fueron comprometidos por este ataque coordinado lograron exfiltrar información de hash de las cuentas administrativas existentes en memoria. Para todos nuestros clientes SOPHOS XG: La acción recomendada por SOPHOS hoy, fue ejecutada como medida de precaución y alineado a estándares de respuesta a incidentes, por nuestro equipo de CyberOps el pasado día 25 de abril de 2020.

Indicar, finalmente, que la línea afectada es únicamente SOPHOS XG – EX CIBEROAM en sus versiones 17, 17.1, 17.5 y 18 y que tuvieran expuesta la administración HTTPS de forma publica. En el siguiente link, podrán ustedes encontrar información oficial del ataque sufrido por SOPHOS y como estos han respondido: https://news.sophos.com/en-us/2020/04/26/asnarok/

 

Como COMPUNET, queremos señalar que, como bien conocemos, la seguridad de la información y ciberseguridad es un proceso y como tal requiera de la evaluación, medición y mejora continua de forma sistemática. En algún momento, todos podemos ser afectados por un incidente de seguridad y/o ciberseguridad. La diferencia está en como seamos capaces de responder a este incidente y nuestra capacidad de ciberresilencia como organización, empresa o institución.