Vai al contenuto
Avanet
Chiusa la vulnerabilità SQL injection di Sophos SFOS

Chiusa la vulnerabilità SQL injection di Sophos SFOS

27. APRILE 2020

In Sophos Firewall OS è stata individuata una vulnerabilità di sicurezza che veniva già sfruttata attivamente. Sophos ha distribuito un hotfix, ma le persone che amministrano i firewall devono comunque cambiare tutte le password locali.

Che cosa è successo?

A prima vista può sembrare contraddittorio che proprio un firewall, pensato per proteggere l’infrastruttura IT, presenti delle vulnerabilità. Nella pratica, tuttavia, vale una regola semplice: qualsiasi sistema che esegue software può contenere vulnerabilità – spesso non sono ancora state scoperte.

Il 22 aprile 2020 alle 20:29 un utente ha segnalato a Sophos una vulnerabilità zero‑day. A quel punto l’attacco era già in corso da circa cinque ore. Il problema è stato notato perché nel portale di amministrazione sono emerse attività sospette. La segnalazione a Sophos ha avuto effetti rapidi: verso le 22:00 i primi domini sono stati bloccati. In parallelo è stata identificata la causa radice ed è iniziato lo sviluppo di un hotfix. Il 25 aprile 2020 alle 07:00 – circa 63 ore dopo i primi attacchi – l’hotfix è stato distribuito a tutti i firewall con SFOS.

La vulnerabilità permetteva agli attaccanti di ottenere da Internet i nomi utente locali insieme agli hash delle password. Nel peggiore dei casi questo avrebbe potuto consentire l’accesso al firewall, a condizione che l’hash fosse stato ricostruito con successo. L’incidente mostra ancora una volta quanto sia importante utilizzare password lunghe, complesse e sicure.

Chi è stato coinvolto?

Potenzialmente erano coinvolti tutti i sistemi su cui è installato Sophos Firewall OS (SFOS): appliance SG, firewall XG e installazioni virtuali. Il fatto che un sistema fosse vulnerabile non significa automaticamente che sia stato compromesso.

Particolarmente critici erano i firewall il cui servizio di amministrazione HTTPS o portale utente era raggiungibile da Internet (si veda lo screenshot in basso). Se l’impostazione predefinita era stata modificata in modo che un altro servizio del firewall – ad esempio SSL VPN – ascoltasse sulla stessa porta di uno dei portali, anche tale configurazione risultava esposta.

Quali misure sono necessarie?

Il trojan Asnarök sfruttava una vulnerabilità zero‑day di tipo SQL injection prima dell’autenticazione. Sophos raccomanda vivamente di modificare tutte le password locali presenti sul firewall. Si tratta della password di amministrazione e di tutte le altre password degli account creati direttamente sul firewall. Gli account sincronizzati, ad esempio, da un Active Directory non sono interessati.

  1. Modificare la password di amministrazione (password di superadmin del firewall)
  2. Riavviare il firewall
  3. Modificare tutte le altre password locali

Per i clienti con contratto di manutenzione, è già stato verificato che tutte le misure necessarie sono state eseguite.

Sophos Firewall OS accesso Asnarök
  • Nello screenshot è possibile vedere quali caselle non devono essere selezionate; tramite queste opzioni si abilita infatti l’accesso al firewall da Internet.
  • Più in basso è possibile definire regole manuali in modo che, ad esempio, l’accesso al firewall sia consentito solo da un determinato indirizzo IP. Questo aumenta significativamente il livello di sicurezza.
  • Nella parte inferiore è infine visibile il punto in cui è possibile modificare la password di amministrazione.

Hotfix

Sophos ha distribuito tramite aggiornamenti automatici l’hotfix che chiude la vulnerabilità. L’installazione automatica degli aggiornamenti è attivata per impostazione predefinita.

Sophos Firewall OS hotfix Asnarök

Tutti i firewall con SFOS 17.x o versione successiva hanno ricevuto la patch. Se il vostro firewall utilizza ancora la versione 15 o 16, è anch’esso interessato e deve essere aggiornato senza indugio.

Maggiori informazioni

Chi legge spesso il nostro blog sa già che passiamo le giornate a lavorare con i prodotti Sophos e che guadagniamo da vivere offrendo servizi e supporto in questo ambito. Anche se il proverbio dice che non si dovrebbe mai mordere la mano che ti nutre, cerchiamo consapevolmente di non guardare tutto con gli occhiali rosa. Scriviamo quello che pensiamo e questo può includere, naturalmente, anche osservazioni critiche. Quindi, senza addolcire nulla, ecco come sempre il nostro giudizio sincero:

Dal nostro punto di vista, Sophos ha comunicato in modo molto rapido e molto trasparente. Molti altri produttori restano invece estremamente vaghi e non si capisce mai davvero che cosa sia successo.

Sophos ha informato la community in tempi brevi tramite un articolo della knowledge base e un post sul blog. Come partner Sophos, abbiamo ricevuto un’e-mail anche la domenica, addirittura in otto copie. Le informazioni sono quindi state pubblicate prima direttamente dal produttore e non esclusivamente tramite siti di news, cosa tutt’altro che scontata nel settore della sicurezza.

Nella knowledge base sono riportati tutti i dettagli sull’incidente e sulle misure raccomandate. Questo articolo si concentra sui punti principali, che nella maggior parte dei casi risultano sufficienti.

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.