Sophos ผู้เชี่ยวชาญเรื่องซอฟท์แวร์และฮาร์ดแวร์ด้านความปลอดภัยจากประเทศอังกฤษ ได้รับรายงานปัญหาในวันที่ 22 เมษายน ที่ผ่านมาว่าพบ field น่าสงสัยบน management interface ของอุปกรณ์ XG Firewall management ทั้งแบบที่เป็น Physical และ Virtual จึงเริ่มต้นทำการตรวจสอบ และทำให้พบช่องโหว่ของ SQL injection ที่ถูกนำมาใช้เพื่อขโมยข้อมูล usernames และ hashed passwords ทั้ง admins/user accounts และ remote access account จาก Firewall ซึ่งจะส่งผลให้แฮกเกอร์สามารถเข้าถึง System configurationได้ แต่ก็มีข่าวดีสำหรับผู้ใช้งานผ่าน External Authentication เช่น AD หรือ LDAP ว่ายังคงปลอดภัยอยู่

ล่าสุด Sophos ได้ออก hotfix เพื่อแก้ไข SQL injection vulnerability และ ป้องกันการโจมตีที่อาจจะเกิดขึ้นได้ ด้วยการตัดการเชื่อมต่อที่ต้องสงสัยว่าเป็นการเชื่อมต่อจากแฮกเกอร์ และลบข้อมูลที่เกี่ยวข้องกับแฮกเกอร์ทั้งหมด โดยจะทำการอัปเดตอัตโนมัติแล้วเมื่อวันที่ 25/04/2020 ซึ่งหากผู้ดูแลระบบเปิดการใช้งาน Allow automatic installation of hotfixes ไว้ ก็จะอัปเดตแล้ว ซึ่งหลังจากติดตั้งจะมีข้อความ alert ใน management interface ว่าอุปกรณ์ของท่านถูก compromised หรือไม่ ถ้าหากอุปกรณ์ยังปลอดภัยระบบจะ alert ข้อความ “Hotfix applied for SQL Injection. Your device was NOT compromised.” แต่ถ้าหากอุปกรณ์ถูก compromised ไปแล้ว “Hotfix applied for SQL injection and partially cleaned.”

อย่างไรก็ตาม Sophos แนะนำให้ผู้ใช้งานรีบติดตั้ง hotfix โดยเร็วที่สุด พร้อมกับตรวจสอบ alert message

ในกรณีที่อุปกรณ์ Firewall ถูก Compromised แล้ว ทาง Sophos แนะนำให้ดำเนินการดังนี้

1. Reset portal administrator และ device administrator accounts
2. Reboot XG devices
3. Reset passwords สำหรับ local user ทั้งหมด
4. ถึงแม้ว่า Password ทั้งหมดบน local device จะถูก hash ไว้ แต่ก็แนะนำให้ทำการเปลี่ยนใหม่ทั้งหมด

ที่มา: https://www.bleepingcomputer.com/news/security/hackers-exploit-zero-day-in-sophos-xg-firewall-fix-released/