Sophos XG Firewall: Zurücksetzen des Kennworts für lokale Benutzer

Übersicht

Sophos untersucht kontinuierlich die Produktsicherheit, um potenzielle Risiken für unsere Kunden auszuschließen. Als Ergebnis haben wir eine kleine Menge von Sophos XG-Firewalls mit lokalen Benutzern identifiziert, die eine Kennwortzurücksetzung erfordern. Für Benutzer, die sich über die LAN- oder VPN-Verbindung bei der XG-Firewall anmelden (außer bei clientlosen VPNs), sind keine Maßnahmen erforderlich. Für lokale Benutzer und Gastbenutzer, die ihr Kennwort seit 2200 UTC am 25. April 2020 nicht zurückgesetzt haben, wird die Anmeldung am Benutzerportal im WAN blockiert, bis ihr Kennwort zurückgesetzt wurde (einschließlich derjenigen, die Lesezeichen über VPN mit clientlosem Zugriff verwenden). Lokale Benutzer- und Gastkonten werden als Benutzerkonten definiert, die auf der XG-Firewall erstellt und authentifiziert werden.

Hinweis: Benutzerkonten, die mit Verzeichnisdiensten wie Active Directory (AD) und LDAP erstellt und authentifiziert wurden, sind nicht betroffen, und es sind keine Maßnahmen erforderlich.

Für seltene Fälle, in denen lokale Benutzer und Gastbenutzer für die Anmeldung am Benutzerportal im WAN (oder clientlosen VPN-Zugang) gesperrt sind, obwohl sie ihr Passwort seit 2200 UTC am 25. April 2020 zurückgesetzt haben, bieten wir die Möglichkeit, diese Sperre aufzuheben. Außerdem stellen wir Administratoren relevante Befehle zur Verfügung, mit denen sie lokal definierte Benutzerkonten, die Änderungen erfordern, identifizieren und entsprechende Maßnahmen ergreifen können.

Was ist als Administrator zu tun?

Stellen Sie sicher, dass Sie über den neuesten Hotfix verfügen, indem Sie sich das XG-Kontrollzentrum ansehen. „HF052220.1“ wird auf jeder Firewall angezeigt, unabhängig davon, ob weitere Maßnahmen erforderlich sind oder nicht.

Schauen Sie im Log nach folgender Meldung

Wenn Sie bereits alle lokalen Benutzerkennwörter geändert haben und Sie keine Warnung in der Benutzeroberfläche des XG-Kontrollzentrums erhalten

-> Es besteht kein Handlungsbedarf

In allen anderen Fällen müssen Sie auf die XG-Firewall-Konsole zugreifen. Es gibt zwei Möglichkeiten, auf die Konsole zuzugreifen:

1. Zugriff über die Weboberfläche über Admin -> Console in der rechten oberen Ecke
2. Sich mit SSH oder Telnet auf die Maschine verbinden

Wenn Sie bereits alle lokalen Benutzerkennwörter geändert haben und die Warnung in der Benutzeroberfläche des XG-Kontrollzentrums erhalten haben

Setzen Sie den Benutzerportal-Block für lokale Benutzer und Gastbenutzer, die sich im WAN anmelden, außer Kraft.

• console> system localusers userportal_login_WAN [enable | show]
• 
• Ermöglicht lokalen Benutzern und Gastbenutzern den Zugriff auf das Benutzerportal von der WAN-Zone aus, unabhängig davon, ob sie ihr Kennwort geändert haben oder nicht. Dadurch wird auch der Control-Center-Alert entfernt.

Wenn Sie noch nicht jedes lokale Benutzerpasswort geändert haben

Haben Sie zwei Optionen

• (Empfohlen) Zurücksetzen der Passwörter für lokal definierte Benutzer und Gastbenutzer, die ihre Passwörter seit 2200 UTC am 25. April 2020 NICHT geändert haben
• (Falls erforderlich) Setzen Sie die Passwörter für ALLE lokal definierten Benutzer und Gastbenutzer zurück

Setzen Sie die Passwörter nur für lokal definierte Benutzer und Gastbenutzer zurück, die ihre Passwörter seit 2200 UTC am 25. April 2020 NICHT geändert haben

• Eine Liste von den Localen User welche ihr Passwort seit 25.04.2020 nicht geändert haben, bekommt man mit folgenden Befehl
  • console> system localusers localuser_list_unchanged_passwords show
• Um die Passwörter der Accounts zuändern
  • console> system localusers set_pin users_unchanged_passwords pin <my4characterpin>
  • Ersetzen Sie <my4characterpin> mit einer 4-stelligen PIN, die eine beliebige Kombination aus alphanumerischen Zeichen (A bis Z, a bis z oder 0 bis 9) und Sonderzeichen (-!@^*()_+{}:<>?~-=[]\;,/|.) sein kann.
  • Beispiel: Das alte Passwort „myoldpass“ wird in „myoldpass7s6W“ geändert, wenn „7s6W“ die neue PIN ist, die Sie gerade eingegeben haben.
    • Hinweis: Dies ist nur ein Beispiel, bitte wählen Sie Ihre eigene geheime PIN
  • Sie sehen eine Bestätigungsmeldung: „Dadurch werden die Passwörter für ALLE lokalen und Gastbenutzer geändert, die die Passwörter nach 2200 UTC, 25. April 2020, NICHT geändert haben. Sind Sie sicher, dass Sie die Passwörter für ALLE lokalen Benutzer und Gastbenutzer ändern wollen? (J/N)“
    • Wenn Sie „J“ wählen, sehen Sie die folgende Bestätigungsmeldung: „Die Passwörter für zzz-Benutzer wurden erfolgreich geändert. (wobei „zzz“ für die Gesamtzahl der lokalen und Gastbenutzer steht, die jetzt ein neues Passwort wie oben beschrieben haben).

Zurücksetzen der Passwörter für ALLE lokal definierten Benutzer und Gastbenutzer

• Eine Liste von allen Localen Benutzern erhalten Sie mit folgenden Befehl
  • console> system localusers all_localuser_list show
• Um die Passwörter von allen Accounts zu ändern
  • console> system localusers set_pin all_users pin <my4characterpin>
  • Ersetzen Sie <my4characterpin> mit einer 4-stelligen PIN, die eine beliebige Kombination aus alphanumerischen Zeichen (A bis Z, a bis z oder 0 bis 9) und Sonderzeichen (-!@^*()_+{}:<>?~-=[]\;,/|.) sein kann.
  • Beispiel: Das alte Passwort „myoldpass“ wird in „myoldpass7s6W“ geändert, wenn „7s6W“ die neue PIN ist, die Sie gerade eingegeben haben.
    • Hinweis: Dies ist nur ein Beispiel, bitte wählen Sie Ihre eigene geheime PIN
  • Sie sehen eine Bestätigungsmeldung: „Dadurch werden die Passwörter für ALLE lokalen und Gastbenutzer geändert, die die Passwörter nach 2200 UTC, 25. April 2020, NICHT geändert haben. Sind Sie sicher, dass Sie die Passwörter für ALLE lokalen Benutzer und Gastbenutzer ändern wollen? (J/N)“
    • Wenn Sie „J“ wählen, sehen Sie die folgende Bestätigungsmeldung: „Die Passwörter für zzz-Benutzer wurden erfolgreich geändert. (wobei „zzz“ für die Gesamtzahl der lokalen und Gastbenutzer steht, die jetzt ein neues Passwort wie oben beschrieben haben).

Original Artikel hier.