Manfaatkan kerentanan injeksi SQL, hacker meretas perangkat Sophos XG Enterprise Firewall. Sebuah patch untuk update otomatis telah dikirimkan perusahaan asal Inggris itu ke para pelanggannya.
Dalam rilisnya Sophos mengatakan bahwa eksploitasi tersebut terdeteksi pada tanggal 22 April lalu setelah ada laporan dari salah satu pelanggannya. Pelanggan itu melaporkan adanya field value yang mencurigakan pada antarmuka tool pengelolaan XG.
Setelah melakukan investigasi mendalam, Sophos memastikan itu sebagai sebuah serangan aktif dan bukan error pada produk.
Peretas Manfaatkan SQL Injection Bug
Serangan ini menggunakan kerentanan (vulnerability) injeksi SQL (SQL injection) untuk memperoleh akses ke produk XG yang tidak terlindungi.
Menurut keterangan Sophos, para hacker menyasar perangkat Sophos XG Firewall dengan HTTPS service atau kontrol panel User Portal tak terlindungi di internet.
Pihak Sophos menjelaskan bahwa serangan dilancarkan para peretas menggunakan kerentanan SQL injection untuk mengunduh payload ke perangkat. Kemudian payload ini akan mencuri file dari XG Firewall.
Data yang dicuri bisa berisi username dan hashed password dari admin perangkat firewall, dan user account untuk melakukan remote akses ke perangkat.
Namun, menurut Sophos, password untuk sistem autentikasi eksternal lainnya, seperti AD atau LDAP, tidak terdampak.
Dari hasil investigasinya, Sophos menegaskan pihaknya tidak menemukan bukti para hacker telah menggunakan password yang dicurinya untuk mengakses perangkat XG Firewall atau apapun di luar firewall, pada jaringan internal pelanggan.
Kirim Patch dan Rekomendasi Langkah Pencegahan
Sebagai langkah pencegahan, Sophos telah menyiapkan dan mengirimkan update otomatis untuk "menambal" (patch) semua perangkat XG Firewall yang sudah mengaktifkan fitur auto-update. Patch ini akan menutup kerentanan SQL injection dan perangkat XG Firewall tidak akan mengakses infrastruktur milik hacker, serta membersihkan semua hal yang berpotensi menyerang perangkat.
Security update dari Sophos juga akan menambahkan satu kotak khusus pada control panel XG Firewall yang memungkinkan pemilik perangkat tahu jika perangkat firewall miliknya sudah diserang.
Sedangkan untuk perusahaan yang perangkatnya sudah ditembus hacker, Sophos merekomendasikan sejumlah langkah untuk mengatasi serangan:
- Reset akun portal administrator dan device administrator.
- Reboot perangkat XG yang diserang.
- Reset semua passwords akun local user.
- Meskipun password sudah diacak (hashed), Sophos menganjurkan pengguna melakukan reset terhadap password semua akun di mana kredensial XG mungkin digunakan.
Sophos juga menganjurkan perusahaan men-disable antarmuka admin firewall pada port yang berhubungan dengan internet jika memang tidak dibutuhkan. Instruksi untuk men-disable control panel pada antarmuka WAN dapat dilihat di sini.