Sophos a corrigé une vulnérabilité critique dans son produit Sophos Firewall qui permet l’exécution de code à distance (RCE).
Suivie sous le nom de CVE-2022-1040, la vulnérabilité de contournement d’authentification existe dans les zones du portail utilisateur et de l’administration Web de Sophos Firewall.
Bug RCE dans la console d’administration Web
Vendredi, Sophos a révélé une vulnérabilité critique d’exécution de code à distance affectant les versions 18.5 MR3 (18.5.3) et antérieures de Sophos Firewall pour lesquelles la société a publié des correctifs.
Attribuée CVE-2022-1040, la vulnérabilité permet à un attaquant distant qui peut accéder au portail utilisateur ou à l’interface Webadmin du pare-feu de contourner l’authentification et d’exécuter du code arbitraire.
La vulnérabilité a été signalée de manière responsable à Sophos par un chercheur en sécurité externe anonyme via le programme Bug Bounty de l’entreprise.
Pour corriger la faille, Sophos a publié des correctifs qui devraient, par défaut, atteindre automatiquement la plupart des instances.
« Aucune action n’est requise pour les clients Sophos Firewall avec la fonctionnalité ‘Autoriser l’installation automatique des correctifs’ activée. Activé est le paramètre par défaut », explique Sophos dans son conseil en sécurité.
L’avis de sécurité implique cependant que certaines versions plus anciennes et certains produits en fin de vie devront peut-être être activés manuellement.
Comme solution de contournement générale contre la vulnérabilité, la société conseille aux clients de sécuriser leurs interfaces de portail utilisateur et d’administration Web :
« Les clients peuvent se protéger contre les attaquants externes en s’assurant que leur portail utilisateur et leur administrateur Web ne sont pas exposés au WAN », lit-on dans l’avis.
« Désactivez l’accès WAN au portail utilisateur et à Webadmin en suivant bonnes pratiques d’accès aux appareils et utilisez à la place VPN et/ou Sophos Central pour l’accès et la gestion à distance. »
Plus tôt cette semaine, Sophos avait également résolution de deux vulnérabilités de gravité « élevée » (CVE-2022-0386 et CVE-2022-0652) impactant les appliances Sophos UTM (Unified Threat Management).
Bugs de Sophos Firewall précédemment exploités par des attaquants
Il reste crucial de s’assurer que vos instances Sophos Firewall reçoivent les derniers correctifs de sécurité et correctifs en temps opportun, étant donné que les attaquants ont ciblé des instances Sophos Firewall vulnérables dans le passé.
Début 2020, Sophos a corrigé une vulnérabilité d’injection SQL zero-day dans son pare-feu XG à la suite de rapports selon lesquels des pirates l’exploitaient activement dans des attaques.
À partir d’avril 2020, les acteurs de la menace à l’origine du logiciel malveillant cheval de Troie Asnarök ont exploité le jour zéro pour tenter de voler les noms d’utilisateur du pare-feu et les mots de passe hachés des instances XG Firewall vulnérables.
Le même jour zéro avait également été exploité par des pirates qui tentaient de fournir des charges utiles de rançongiciel Ragnarok sur les systèmes Windows des entreprises.
Il est donc conseillé aux utilisateurs de Sophos Firewall de s’assurer que leurs produits sont mis à jour. Le site Web de support Sophos explique comment activer l’installation automatique des correctifs et vérifier si le correctif pour CVE-2022-1040 atteint avec succès votre produit.
Une fois l’installation automatique des correctifs activée, Sophos Firewall recherche des correctifs toutes les trente minutes et après tout redémarrage.