Panier d’achat

Aucun produit dans le panier.

Sophos SFOS SQL Injection gap resolved

Le système d’exploitation Sophos Firewall présentait une faille de sécurité qui était activement exploitée. Sophos a déjà distribué le correctif, mais les administrateurs de pare-feu doivent changer tous les mots de passe locaux.

Que s’est-il passé ?

Il est vrai qu’il est un peu déroutant pour l’utilisateur normal qu’un pare-feu censé protéger l’infrastructure informatique soit lui-même peu sûr. En fait, tout appareil sur lequel fonctionne un logiciel présente des failles de sécurité. Souvent, ils n’ont tout simplement pas encore été trouvés.

Une vulnérabilité du jour zéro a été signalée à Sophos par un utilisateur le 22 avril 2020 à 20h29. L’attaque était en cours depuis cinq heures à ce moment-là. L’utilisateur l’a remarqué, car cela était visible sur le portail d’administration. La notification à Sophos de cette vulnérabilité a été suivie d’effets à 22 heures, lorsque les premiers domaines ont été bloqués. Parallèlement, la cause a pu être trouvée et les travaux visant à trouver une solution étaient en cours. Le 25 avril 2020 à 07h00, soit 63 heures après les premières attaques, un hotfix a pu être distribué sur tous les pare-feux équipés de SFOS.

Cette faille de sécurité a permis à des pirates de récupérer via Internet tous les noms d’utilisateurs locaux avec les hachages des mots de passe. Dans le pire des cas, quelqu’un aurait donc pu avoir accès au pare-feu. Il aurait toutefois fallu reconstruire le hachage du mot de passe au préalable. Cet incident démontre une fois de plus qu’il est indispensable d’utiliser des mots de passe complexes, longs et sûrs !

Qui est concerné ?

Tous les systèmes sur lesquels Sophos Firewall OS (SFOS) a été installé. Il peut s’agir aussi bien d’appliances SG, de pare-feu XG ou de machines virtuelles. Ces systèmes sont menacés, mais cela ne signifie pas encore que l’on a été piraté. Les pare-feu accessibles depuis Internet via le service d’administration HTTPS ou le portail utilisateur étaient menacés (voir la capture d’écran ci-dessous). Si un administrateur a modifié le réglage par défaut de sorte qu’un service de pare-feu, comme par exemple le VPN SSL, écoute sur le même port que les deux portails, ce pare-feu est également concerné.

Que faut-il faire ?

Le cheval de Troie nommé Asnarök utilisait une faille d’injection SQL pré-Auth inconnue auparavant (zero-day). Sophos recommande de changer tous les mots de passe locaux sur le pare-feu. Cela signifie le mot de passe admin et tous les autres mots de passe des utilisateurs qui ont été créés sur le pare-feu lui-même. Les utilisateurs chargés sur le pare-feu à partir d’un ActiveDirctory, par exemple, ne sont pas concernés.

  1. Modifier le mot de passe admin (mot de passe superadmin du pare-feu)
  2. Redémarrer le pare-feu
  3. Modifier tous les autres mots de passe locaux

Pour les clients disposant d’un contrat de maintenance, nous nous sommes déjà assurés que toutes les démarches nécessaires avaient été effectuées.

  • Sur la capture d’écran, on peut voir quelles cases à cocher ne doivent pas être activées. Cela permet d’ouvrir l’accès au pare-feu à partir d’Internet.
  • Plus bas, il est possible de définir des règles manuelles pour que l’accès au pare-feu ne soit possible que depuis une seule IP, par exemple, ce qui rend l’accès déjà beaucoup plus sûr.
  • Tout en bas, on voit alors où le mot de passe administrateur doit être modifié.

Correction à chaud

Sophos a déployé le hotfix qui comble la faille de sécurité via une mise à jour automatique. La fonction d’installation automatique des mises à jour est activée par défaut.

Tous les pare-feu avec SFOS 17.x ou supérieur ont reçu le patch. Si votre pare-feu fonctionne encore avec la version 15 ou 16, il est également concerné et doit absolument être mis à jour.

Plus d’informations

Si vous lisez souvent notre blog, vous savez que nous ne faisons rien d’autre que de nous occuper des produits Sophos et que nous gagnons notre vie avec les services et le support. Bien que, selon le proverbe, il ne faille jamais mordre la main qui nous nourrit, nous faisons de gros efforts pour ne pas toujours tout voir à travers des lunettes roses. Nous écrivons toujours ce que nous pensons et cela peut bien sûr aussi être des mots critiques. Alors, sans vouloir enjoliver les choses, comme toujours, un feedback honnête :

De notre point de vue, Sophos a fourni des informations très rapides et transparentes à ce sujet. Beaucoup d’autres fabricants restent souvent très discrets et on ne sait jamais vraiment ce qui se passe.

En revanche, Sophos a informé la communauté en peu de temps avec un KB et un blogpost et nous, en tant que Partenaires Sophos, avons également reçu un e-mail dimanche (même en 8 exemplaires). Ainsi, les informations ont d’abord été publiées par le fabricant lui-même et non par des sites d’information, ce qui n’est pas non plus la norme.

Dans la base de connaissances, on obtient toutes les informations sur ce qui s’est passé exactement et sur la manière de procéder. Ce blog ne contient que les informations les plus importantes, qui devraient déjà suffire à beaucoup.

Patrizio
Patrizio

S'abonner à la newsletter

Nous envoyons chaque mois une newsletter contenant tous les articles de blog du mois en question.