Support-Portal

Sophos XG Firewall Hotfix „HF051220.1“

Ein neuer Hotfix für Sophos XG Firewall wurde released.

Was enthält der Hotfix?

Nach den letzten Hotfixes in Bezug auf eine SQL Injection-Schwachstelle und dem Passwort Reset für Sophos XG Firewall/SFOS, fügt der Hotfix HF051220.1 eine Command Line Interface-Option hinzu, um die Konfiguration anhand früherer Administrator-Aktionen zu ändern:

  1. Sie können nun Captcha für den WebAdmin und das User Portal abschalten, wenn diese gegenüber der VPN-Zone offen sind.
  • Captcha-Authentifizierung dient als eine zusätzliche Sicherheitsmaßnahme gegen geskriptete, automatische Login-Versuche.
  • Als zusätzliche Sicherheitsmaßnahme wurde ein Captcha für Sophos XG Firewall Admin und User Portale auf WAN und VPN-Zonen eingerichtet. Es ist für alle Geräte mit SFOS v17.x und v18.x aktiviert, mit Ausnahme von XG85/XG85w. Jegliche Cyberoam-Geräte, die auf eine Sophos XG Firewall-Firmware geupgradet wurden, werden Captcha nicht implementieren.
  • Dieser Hotfix ermöglicht CLI-Konfiguration für console>system captcha_authentication_VPN enable/disable/show
    • Für den Fall, dass VPN als Site-to-Site-IPsec mit Entferntem Netzwerk „ANY“ konfigurert wurde, müssen sie eine IPsec Route setzen, um für ein bestimmtes VPN-Netzwerk /einen bestimmten VPN-Host das Captcha zu deaktivieren.
      • Beispiel:
      • 1. console>system ipsec_route add host <50.50.50.1> tunnelname <mytunnel>
      • 2. console>system ipsec_route add net <10.10.10.0/255.255.255.0> tunnelname <mytunnel>

2. Es ist nun möglich das Pop-Up für den verbindlichen Passwort Reset abzuschalten

  •  Als zusätzliche Sicherheitsmaßnahme in Bezug auf die Schwachstelle CVE-2020-12271 wird ein Pop-Up für Passwort-Reset in allen Sophos XG Firewalls angezeigt, die als betroffen identifiziert wurden.
  • Haben sie die Passwörter seit dem 25. April 2020, 22:00 Uhr UTC für alle Benutzer mit Administrator-Privilegien und Administratoren geändert, so wollen sie die Benachrichtigung zum verbindlichen Passwort-Reset gegebenenfalls ausschalten.
  • Dieser Hotfix bietet eine CLI-Konfiguration dafür: console>system mandatory_passwort_reset disable/show

Welche Firmware-Versionen erhalten den Hotfix?

Alle unterstützten Versionen: SFOS v17.0, SFOS v17.1, SFOS v17.5 und SFOS v18 GA

Wie kann ich überprüfen, ob meine Firewall den Hotfix bereits angewandt hat?

Die Firmware-Version im Sophos XG Firewall WebAdmin Control Center hat den Zusatz „HF051220.1“ angefügt. Beispiel – „SFOS 18.0.0 GA-Build379.HF051220.1“

Wie stelle ich sicher, dass meine Firewall den Hotfix  erhält?

Stellen sie sicher, dass sie die automatische Installation von Hotfixes aktiviert haben. Diese Einstellung ist standardmäßig aktiviert.

  1. Öffnen sie den WebAdmin und navigieren sie zu Backup & Firmware –> Firmware –> Hotfix
  2. Aktivieren sie „Automatische Installation von Hotfixes erlauben„.
  3. Klicken sie auf Anwenden.

Hinweis: Kunden, die ihre Sophos XG Firewalls über den Sophos Firewall Manager (SFM) oder den Central Firewall Manager (CFM) verwalten, müssen sicherstellen, dass jede Firewall eine aktive Verbindung zum Firewall Manager hat um kritische Updates zu erhalten.

Den Original-Artikel von Sophos können sie unter folgendem Link finden:

https://community.sophos.com/products/xg-firewall/b/blog/posts/xg-firewall-hotfix-hf051220-1-released

Tags: sophos, XG Firewall, SFOS, Sophos Firewall Manager, Hotfix, v17.0, v17.1, v17.5, v18 GA, Central Firewall Manager, SFM, CFM, CLI, Command Line Interface, CVE-2020-12271