{"id":132077,"date":"2020-04-27T12:00:00","date_gmt":"2020-04-27T11:00:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/cerrada-la-vulnerabilidad-de-inyeccion-sql-de-sophos-sfos\/"},"modified":"2023-09-19T12:34:12","modified_gmt":"2023-09-19T11:34:12","slug":"cerrada-la-vulnerabilidad-de-inyeccion-sql-de-sophos-sfos","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/es\/blog\/cerrada-la-vulnerabilidad-de-inyeccion-sql-de-sophos-sfos\/","title":{"rendered":"Cerrada la vulnerabilidad de inyecci\u00f3n SQL de Sophos SFOS"},"content":{"rendered":"\n

Hab\u00eda una vulnerabilidad de seguridad en el sistema operativo Sophos Firewall, que tambi\u00e9n fue explotada activamente. Sophos ya ha distribuido la revisi\u00f3n, pero los administradores de cortafuegos tendr\u00e1n que cambiar todas las contrase\u00f1as locales.<\/p>\n\n

\u00bfQu\u00e9 ha pasado?<\/h2>\n\n

Hay que reconocer que resulta algo confuso para el usuario normal que un cortafuegos que deber\u00eda proteger la infraestructura inform\u00e1tica sea a su vez inseguro. De hecho, todos los dispositivos que ejecutan software tienen vulnerabilidades de seguridad. A menudo, simplemente no se han encontrado todav\u00eda.<\/p>\n\n

Un usuario notific\u00f3 a Sophos una vulnerabilidad de d\u00eda cero a las 20:29 del 22 de abril de 2020. El ataque hab\u00eda durado 5 horas en ese momento. El usuario se dio cuenta porque estaba visible en el Portal de Administraci\u00f3n. El informe a Sophos sobre esta vulnerabilidad tuvo efecto a las 10 de la noche, cuando se bloquearon los primeros dominios. Paralelamente, se encontr\u00f3 la causa y se empez\u00f3 a trabajar en una soluci\u00f3n. El 25 de abril de 2020 a las 07:00, 63 horas despu\u00e9s de los primeros ataques, se pudo distribuir un hotfix a todos los cortafuegos con SFOS.<\/p>\n\n

Esta vulnerabilidad permit\u00eda a los atacantes acceder a todos los nombres de usuario locales con los hashes de las contrase\u00f1as a trav\u00e9s de Internet. As\u00ed que, en el peor de los casos, alguien podr\u00eda haber accedido al cortafuegos. Sin embargo, primero habr\u00eda que reconstruir el hash de la contrase\u00f1a. Este incidente demuestra una vez m\u00e1s que es esencial utilizar contrase\u00f1as complejas, largas y seguras.<\/p>\n\n

\u00bfA qui\u00e9n afecta?<\/h2>\n\n

Todos los sistemas en los que se ha instalado el Sophos Firewall OS (SFOS). Pueden ser dispositivos SG, cortafuegos XG o m\u00e1quinas virtuales. Estos sistemas est\u00e1n comprometidos, pero eso no significa que usted haya sido pirateado. Los cortafuegos a los que se pod\u00eda acceder desde Internet a trav\u00e9s del Servicio de administraci\u00f3n HTTPS o el Portal del usuario estaban en peligro (v\u00e9ase la captura de pantalla siguiente). Si un administrador ha cambiado la configuraci\u00f3n predeterminada para que un servicio de cortafuegos como SSL VPN escuche en el mismo puerto que los dos portales, este cortafuegos tambi\u00e9n se ver\u00e1 afectado.<\/p>\n\n

\u00bfQu\u00e9 hay que hacer?<\/h2>\n\n

El troyano llamado Asnar\u00f6k explotaba una vulnerabilidad de inyecci\u00f3n SQL pre-auth desconocida hasta entonces (d\u00eda cero). Sophos recomienda cambiar todas las contrase\u00f1as locales del cortafuegos. Es decir, la contrase\u00f1a de administrador<\/strong> y todas las dem\u00e1s contrase\u00f1as de los usuarios creados en el propio cortafuegos. Los usuarios que se cargan en el cortafuegos desde un ActiveDirctory, por ejemplo, no se ven afectados.<\/p>\n\n

  1. Cambiar la contrase\u00f1a de administrador (contrase\u00f1a de superadministrador del cortafuegos)<\/li>
  2. Reiniciar el cortafuegos<\/li>
  3. Cambiar el resto de contrase\u00f1as locales<\/li><\/ol>\n\n

    En el caso de los clientes con contrato de mantenimiento, ya nos hemos asegurado de que se han tomado todas las medidas necesarias.<\/p><\/blockquote>\n\n

    \n
    \"Acceso<\/a><\/figure>\n<\/figure>\n\n