Aller au contenu
Avanet
Sophos SFOS : faille SQL injection corrigée

Sophos SFOS : faille SQL injection corrigée

27. AVRIL 2020

Une vulnérabilité de sécurité a été découverte dans Sophos Firewall OS et était déjà exploitée de manière active. Sophos a déployé un hotfix, mais les administrateurs de firewall doivent malgré tout modifier l’ensemble des mots de passe locaux.

Que s’est‑il passé ?

À première vue, il peut sembler paradoxal qu’un firewall chargé de protéger l’infrastructure IT soit lui‑même vulnérable. En pratique, pourtant, la règle est simple : tout système exécutant un logiciel peut contenir des vulnérabilités – celles‑ci n’ont simplement pas encore été découvertes.

Le 22 avril 2020 à 20h29, un utilisateur a signalé à Sophos une vulnérabilité zero‑day. À ce moment‑là, l’attaque était déjà en cours depuis environ cinq heures. Elle a été remarquée parce que des activités suspectes étaient visibles dans le portail d’administration. Le signalement à Sophos a rapidement porté ses fruits : vers 22h00, les premiers domaines ont été bloqués. En parallèle, la cause racine a été identifiée et les travaux sur un hotfix ont commencé. Le 25 avril 2020 à 7h00 – soit environ 63 heures après les premières attaques – un hotfix a été déployé sur tous les firewalls exécutant SFOS.

Via cette faille, des attaquants pouvaient récupérer, depuis Internet, des noms d’utilisateur locaux et les hash de leurs mots de passe. Dans le pire des cas, cela aurait pu leur permettre d’accéder au firewall, à condition de parvenir à reconstituer le mot de passe à partir du hash. L’incident rappelle une nouvelle fois l’importance d’utiliser des mots de passe longs, complexes et sécurisés.

Qui était concerné ?

Tous les systèmes exécutant Sophos Firewall OS (SFOS) étaient potentiellement concernés – appliances SG, firewalls XG et installations virtuelles. Le fait qu’un système soit vulnérable ne signifie pas pour autant qu’il ait effectivement été compromis.

Les firewalls dont le service d’administration HTTPS ou le portail utilisateur était accessible depuis Internet étaient particulièrement critiques (voir la capture d’écran ci‑dessous). Si la configuration par défaut avait été modifiée de sorte qu’un autre service du firewall – par exemple SSL VPN – écoute sur le même port que l’un des portails, cette configuration était elle aussi considérée comme vulnérable.

Quelles mesures prendre ?

Le cheval de Troie, baptisé Asnarök, exploitait une vulnérabilité zero‑day de type SQL injection avant authentification. Sophos recommande vivement de modifier tous les mots de passe locaux sur le firewall. Cela concerne le mot de passe administrateur ainsi que tous les autres mots de passe des utilisateurs créés directement sur le firewall. Les comptes synchronisés à partir, par exemple, d’un Active Directory ne sont pas concernés.

  1. Modifier le mot de passe administrateur (mot de passe superadmin du firewall)
  2. Redémarrer le firewall
  3. Modifier tous les autres mots de passe locaux

Pour les clients disposant d’un contrat de maintenance, il a déjà été vérifié que toutes les étapes nécessaires ont été effectuées.

Sophos Firewall OS accès Asnarok
  • La capture d’écran montre quelles cases ne doivent pas être cochées ; ces options donnent en effet accès au firewall depuis Internet.
  • Plus bas, il est possible de définir des règles manuelles afin que l’accès au firewall ne soit autorisé, par exemple, qu’à partir d’une adresse IP donnée. Cela améliore nettement le niveau de sécurité.
  • En bas de page figure enfin l’endroit où l’on peut modifier le mot de passe administrateur.

Hotfix

Sophos a distribué, via les mises à jour automatiques, le hotfix corrigeant la vulnérabilité. L’installation automatique des mises à jour est activée par défaut.

Sophos Firewall OS hotfix Asnarok

Toutes les firewalls exécutant SFOS 17.x ou une version ultérieure ont reçu ce correctif. Si votre firewall fonctionne encore avec la version 15 ou 16, il est lui aussi concerné et doit être mis à jour sans tarder.

Plus d’informations

Les lecteurs réguliers de notre blog savent que nous passons nos journées à travailler avec les produits Sophos et que nous gagnons notre vie grâce aux services et au support que nous proposons autour de cet univers. Même s’il existe un dicton selon lequel il ne faut jamais mordre la main qui vous nourrit, nous faisons un effort conscient pour ne pas tout regarder avec des lunettes roses. Nous écrivons ce que nous pensons, et cela peut évidemment inclure des remarques critiques. Voici donc, sans rien enjoliver, notre avis honnête comme toujours :

De notre point de vue, Sophos a communiqué ici de manière très rapide et très transparente. Beaucoup d’autres éditeurs restent extrêmement vagues et l’on ne sait jamais vraiment ce qu’il s’est passé.

Sophos a rapidement informé la communauté au moyen d’un article de la base de connaissances et d’un billet de blog. En tant que partenaire Sophos, nous avons également reçu un e-mail le dimanche, et même en huit exemplaires. Les informations ont donc d’abord été publiées directement par l’éditeur et non exclusivement par des sites d’actualité, ce qui est loin d’être la norme dans le domaine de la sécurité.

La base de connaissances décrit de manière exhaustive l’incident et les étapes recommandées. Cet article se concentre sur les points essentiels, qui suffisent dans de nombreux cas.

Patrizio

Patrizio

Patrizio est un specialiste reseau experimente, axe sur les firewalls Sophos, les switches et les points d'acces. Il accompagne les clients et les equipes IT dans la configuration, la migration et une segmentation reseau propre.