{"id":132081,"date":"2020-04-27T12:00:00","date_gmt":"2020-04-27T11:00:00","guid":{"rendered":"https:\/\/www.avanet.com\/blog\/chiusa-la-vulnerabilita-sql-injection-di-sophos-sfos\/"},"modified":"2023-09-19T12:34:43","modified_gmt":"2023-09-19T11:34:43","slug":"chiusa-la-vulnerabilita-sql-injection-di-sophos-sfos","status":"publish","type":"post","link":"https:\/\/www.avanet.com\/it\/blog\/chiusa-la-vulnerabilita-sql-injection-di-sophos-sfos\/","title":{"rendered":"Chiusa la vulnerabilit\u00e0 SQL injection di Sophos SFOS"},"content":{"rendered":"\n

Esisteva una vulnerabilit\u00e0 di sicurezza nel sistema operativo Sophos Firewall, che \u00e8 stata sfruttata attivamente. Sophos ha gi\u00e0 distribuito l’hotfix, ma gli amministratori del firewall dovranno modificare tutte le password locali.<\/p>\n\n

Che cosa \u00e8 successo?<\/h2>\n\n

Certo, per l’utente normale \u00e8 un po’ confuso quando un firewall che dovrebbe proteggere l’infrastruttura IT \u00e8 a sua volta insicuro. In effetti, ogni dispositivo che esegue software presenta vulnerabilit\u00e0 di sicurezza. Spesso non sono ancora stati trovati.<\/p>\n\n

Sophos \u00e8 stata informata di una vulnerabilit\u00e0 zero-day da un utente alle 20:29 del 22 aprile 2020. A quel punto l’attacco era in corso da 5 ore. L’utente se n’\u00e8 accorto perch\u00e9 era visibile nel portale di amministrazione. La segnalazione a Sophos di questa vulnerabilit\u00e0 ha avuto effetto alle 22:00, quando i primi domini sono stati bloccati. Parallelamente, \u00e8 stata individuata la causa e si \u00e8 lavorato per trovare una soluzione. Il 25 aprile 2020 alle 07:00, 63 ore dopo i primi attacchi, \u00e8 stato possibile distribuire un hotfix a tutti i firewall con SFOS.<\/p>\n\n

Questa vulnerabilit\u00e0 consentiva agli aggressori di accedere a tutti i nomi utente locali con gli hash delle password tramite Internet. Quindi, nel peggiore dei casi, qualcuno potrebbe aver avuto accesso al firewall. Tuttavia, sarebbe stato necessario ricostruire prima l’hash della password. Questo incidente dimostra ancora una volta che \u00e8 essenziale utilizzare password complesse, lunghe e sicure!<\/p>\n\n

Chi \u00e8 interessato?<\/h2>\n\n

Tutti i sistemi su cui \u00e8 stato installato Sophos Firewall OS (SFOS). Possono essere appliance SG, firewall XG o macchine virtuali. Questi sistemi sono compromessi, ma ci\u00f2 non significa che siate stati violati. I firewall accessibili da Internet tramite il servizio di amministrazione HTTPS o il portale utente erano a rischio (vedere la schermata seguente). Se un amministratore ha modificato l’impostazione predefinita in modo che un servizio firewall come SSL VPN ascolti sulla stessa porta dei due portali, anche questo firewall sar\u00e0 interessato.<\/p>\n\n

Cosa bisogna fare?<\/h2>\n\n

Il trojan denominato Asnar\u00f6k sfruttava una vulnerabilit\u00e0 pre-auth SQL injection precedentemente sconosciuta (zero-day). Sophos Firewall consiglia di modificare tutte le password locali del firewall. Si tratta della password di amministrazione<\/strong> e di tutte le altre password degli utenti create sul firewall stesso. Gli utenti caricati sul firewall da una ActiveDirctory, ad esempio, non sono interessati.<\/p>\n\n

  1. Cambiare la password di amministrazione (password di superamministratore del firewall)<\/li>
  2. Riavviare il firewall<\/li>
  3. Modificare tutte le altre password locali<\/li><\/ol>\n\n

    Per i clienti con contratto di manutenzione, ci siamo gi\u00e0 assicurati che siano state prese tutte le misure necessarie.<\/p><\/blockquote>\n\n

    \n
    \"Accesso<\/a><\/figure>\n<\/figure>\n\n