Aller au contenu
Avanet
Plus de 4 000 Sophos Firewalls restent vulnérables

Plus de 4 000 Sophos Firewalls restent vulnérables

Des chercheurs en sécurité de VulnCheck ont constaté que de nombreux administrateurs réseau dans le monde n’avaient toujours pas mis leur Sophos Firewall à jour. Ils ont identifié environ 88 000 firewalls accessibles depuis Internet, dont plusieurs milliers restent vulnérables à une faille de sécurité critique.

Le User Portal d’environ 78 000 firewalls est accessible depuis Internet et, pour 10 000 firewalls, l’accès au login Web-Admin est même possible. Depuis la version SFOS 18.0 MR3, un avertissement actif est affiché à ce sujet dans le backend.

Sophos Firewalls Webadmin
UserPortal
Sophos Firewalls User Portal
WebAdmin

La vulnérabilité est connue depuis septembre 2022, et un Hotfix ainsi que des correctifs de sécurité sont disponibles depuis décembre. Les chercheurs conseillent aux administrateurs de vérifier non seulement la version installée, mais aussi les fichiers journaux afin de détecter d’éventuelles compromissions.

Nous avons déjà parlé par le passé de vulnérabilités dans Sophos Firewall (Faille d’injection SQL Sophos SFOS corrigée) et des mesures que nous recommandons pour éviter qu’elle soit aussi facilement accessible depuis Internet.

La vulnérabilité, connue sous le nom CVE-2022-3236, permet à des attaquants d’exécuter du code malveillant et est classée comme extrêmement critique. Lorsque Sophos l’a annoncée en septembre de l’année précédente, l’entreprise a averti qu’elle avait déjà été exploitée comme zero-day. Sophos a demandé à ses clients d’installer un Hotfix, puis un patch complet, afin d’éviter toute infection.

Sophos Firewalls utilisant des versions avec un Hotfix disponible
Sophos Firewalls avec des versions pour lesquelles un Hotfix est disponible
Sophos Firewalls utilisant des versions vulnérables
Sophos Firewalls avec des versions vulnérables

Plus de 99 % des Sophos Firewalls accessibles depuis Internet n’ont pas été mis à jour vers des versions contenant le patch officiel pour CVE-2022-3236, écrit Jacob Baines, chercheur chez VulnCheck. Environ 93 % des systèmes utilisent toutefois des versions pour lesquelles un Hotfix est disponible, et le comportement par défaut du firewall consiste à télécharger et appliquer automatiquement les Hotfixes (sauf si un administrateur l’a désactivé). Il est donc probable que presque tous les firewalls éligibles à un Hotfix l’aient reçu.

Cela signifie que plus de 4 000 firewalls (soit environ 6 % des Sophos Firewalls exposés à Internet) fonctionnent encore avec des versions qui n’ont reçu aucun Hotfix et sont donc vulnérables. Cela correspond à environ 6 % de tous les Sophos Firewalls, selon la société de sécurité VulnCheck, qui s’appuie sur des chiffres issus d’une recherche Shodan.

Téléchargez donc Sophos Firewall version 19.5, installez-la et vérifiez que le Hotfix a été installé automatiquement.

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.