« L’injection SQL Zéro-Day (CVE-2020-12271) affecte le système d’exploitation XG Firewall / Sophos Firewall (SFOS) et pourrait permettre aux cybercriminels d’exfiltrer les "données résidentes de XG Firewall", comme les noms d’utilisateur, les mots de passe chiffrés, ou les informations d’identification du compte d’utilisateur local en fonction de la configuration.

La vulnérabilité cible l’interface d’administration des XG Firewalls accessible via le portail utilisateur, lui-même accessible via HTTP ou sur la zone WAN. Les systèmes sont également affectés lorsque le port utilisé pour le portail utilisateur ou l’interface d’administration est employé pour exposer un service de pare-feu, tel que le VPN SSL.

Les cybercriminels pourraient réutiliser les informations d’identification collectées lors d’une attaque réussie, y compris les mots de passe administrateur, pour un accès à distance ou accéder à d’autres applications au sein d’une organisation. L’attaque qui a déclenché l’enquête initiale de Sophos et la découverte de la faille Zéro-Day a également noté la présence du logiciel malveillant, Asnarök, sur le terminal, qui pourrait modifier les services pour s’assurer qu’il fonctionne à chaque démarrage du pare-feu pour perpétrer l’attaque. Dans un autre article intitulé "Le cheval de Troie Asnarök cible les pare-feu" Sophos fournit plus de détails sur ce malware.

En complément de l’implémentation du correctif proposé par Sophos, les entreprises devraient s’efforcer de réduire leur surface d’attaque dans la mesure du possible en désactivant les services d’administration HTTPS et l’accès au portail utilisateur sur l’interface WAN. »