{"id":132083,"date":"2020-04-27T12:00:00","date_gmt":"2020-04-27T11:00:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/sophos-sfos-sql-injection-gap-resolved\/"},"modified":"2023-09-19T12:35:32","modified_gmt":"2023-09-19T11:35:32","slug":"sophos-sfos-sql-injection-gap-resolved","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/fr\/blog\/sophos-sfos-sql-injection-gap-resolved\/","title":{"rendered":"Sophos SFOS SQL Injection gap resolved"},"content":{"rendered":"\n

Le syst\u00e8me d’exploitation Sophos Firewall pr\u00e9sentait une faille de s\u00e9curit\u00e9 qui \u00e9tait activement exploit\u00e9e. Sophos a d\u00e9j\u00e0 distribu\u00e9 le correctif, mais les administrateurs de pare-feu doivent changer tous les mots de passe locaux.<\/p>\n\n

Que s’est-il pass\u00e9 ?<\/h2>\n\n

Il est vrai qu’il est un peu d\u00e9routant pour l’utilisateur normal qu’un pare-feu cens\u00e9 prot\u00e9ger l’infrastructure informatique soit lui-m\u00eame peu s\u00fbr. En fait, tout appareil sur lequel fonctionne un logiciel pr\u00e9sente des failles de s\u00e9curit\u00e9. Souvent, ils n’ont tout simplement pas encore \u00e9t\u00e9 trouv\u00e9s.<\/p>\n\n

Une vuln\u00e9rabilit\u00e9 du jour z\u00e9ro a \u00e9t\u00e9 signal\u00e9e \u00e0 Sophos par un utilisateur le 22 avril 2020 \u00e0 20h29. L’attaque \u00e9tait en cours depuis cinq heures \u00e0 ce moment-l\u00e0. L’utilisateur l’a remarqu\u00e9, car cela \u00e9tait visible sur le portail d’administration. La notification \u00e0 Sophos de cette vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 suivie d’effets \u00e0 22 heures, lorsque les premiers domaines ont \u00e9t\u00e9 bloqu\u00e9s. Parall\u00e8lement, la cause a pu \u00eatre trouv\u00e9e et les travaux visant \u00e0 trouver une solution \u00e9taient en cours. Le 25 avril 2020 \u00e0 07h00, soit 63 heures apr\u00e8s les premi\u00e8res attaques, un hotfix a pu \u00eatre distribu\u00e9 sur tous les pare-feux \u00e9quip\u00e9s de SFOS.<\/p>\n\n

Cette faille de s\u00e9curit\u00e9 a permis \u00e0 des pirates de r\u00e9cup\u00e9rer via Internet tous les noms d’utilisateurs locaux avec les hachages des mots de passe. Dans le pire des cas, quelqu’un aurait donc pu avoir acc\u00e8s au pare-feu. Il aurait toutefois fallu reconstruire le hachage du mot de passe au pr\u00e9alable. Cet incident d\u00e9montre une fois de plus qu’il est indispensable d’utiliser des mots de passe complexes, longs et s\u00fbrs !<\/p>\n\n

Qui est concern\u00e9 ?<\/h2>\n\n

Tous les syst\u00e8mes sur lesquels Sophos Firewall OS (SFOS) a \u00e9t\u00e9 install\u00e9. Il peut s’agir aussi bien d’appliances SG, de pare-feu XG ou de machines virtuelles. Ces syst\u00e8mes sont menac\u00e9s, mais cela ne signifie pas encore que l’on a \u00e9t\u00e9 pirat\u00e9. Les pare-feu accessibles depuis Internet via le service d’administration HTTPS ou le portail utilisateur \u00e9taient menac\u00e9s (voir la capture d’\u00e9cran ci-dessous). Si un administrateur a modifi\u00e9 le r\u00e9glage par d\u00e9faut de sorte qu’un service de pare-feu, comme par exemple le VPN SSL, \u00e9coute sur le m\u00eame port que les deux portails, ce pare-feu est \u00e9galement concern\u00e9.<\/p>\n\n

Que faut-il faire ?<\/h2>\n\n

Le cheval de Troie nomm\u00e9 Asnar\u00f6k utilisait une faille d’injection SQL pr\u00e9-Auth inconnue auparavant (zero-day). Sophos recommande de changer tous les mots de passe locaux sur le pare-feu. Cela signifie le mot de passe admin<\/strong> et tous les autres mots de passe des utilisateurs qui ont \u00e9t\u00e9 cr\u00e9\u00e9s sur le pare-feu lui-m\u00eame. Les utilisateurs charg\u00e9s sur le pare-feu \u00e0 partir d’un ActiveDirctory, par exemple, ne sont pas concern\u00e9s.<\/p>\n\n

  1. Modifier le mot de passe admin (mot de passe superadmin du pare-feu)<\/li>
  2. Red\u00e9marrer le pare-feu<\/li>
  3. Modifier tous les autres mots de passe locaux<\/li><\/ol>\n\n

    Pour les clients disposant d’un contrat de maintenance, nous nous sommes d\u00e9j\u00e0 assur\u00e9s que toutes les d\u00e9marches n\u00e9cessaires avaient \u00e9t\u00e9 effectu\u00e9es.<\/p><\/blockquote>\n\n

    \n
    \"Sophos<\/a><\/figure>\n<\/figure>\n\n