+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Sophos corrige 3 vulnérabilité dans son Firewall (/showthread.php?tid=4793)
Sophos corrige 3 vulnérabilité dans son Firewall - Omnous_Luminae - 20-12-2024
Sophos a corrigé trois vulnérabilités dans son produit Sophos Firewall qui pourraient permettre à des acteurs malveillants non authentifiés de réaliser des injections SQL, d'exécuter du code à distance (RCE) et d'obtenir un accès SSH privilégié aux appareils.
Les vulnérabilités concernent les versions 21.0 GA (21.0.0) et antérieures de Sophos Firewall. L'entreprise a déjà publié des correctifs temporaires et permanents via des mises à jour du firmware.
Résumé des vulnérabilités :
- CVE-2024-12727 : Une vulnérabilité d'injection SQL avant authentification dans la fonctionnalité de protection des e-mails. Si une configuration spécifique de Secure PDF eXchange (SPX) est activée en combinaison avec le mode Haute Disponibilité (HA), cela permet un accès à la base de données de rapports, pouvant entraîner une exécution de code à distance (RCE).
- CVE-2024-12728 : La phrase secrète suggérée et non aléatoire pour l'initialisation des clusters HA SSH reste active après le processus, rendant les systèmes où SSH est activé vulnérables à des accès non autorisés à cause de credentials prévisibles.
- CVE-2024-12729 : Un utilisateur authentifié peut exploiter une vulnérabilité d'injection de code dans le portail utilisateur. Cela permet aux attaquants disposant de credentials valides d'exécuter du code arbitraire à distance, augmentant le risque d'escalade de privilèges ou d'autres exploitations.
Sophos indique que la vulnérabilité CVE-2024-12727 affecte environ 0,05 % des appareils firewall ayant la configuration spécifique nécessaire à son exploitation. Quant à la vulnérabilité CVE-2024-12728, elle affecte environ 0,5 % des appareils.
Correctifs disponibles :
CVE-2024-12727 :
- Correctifs temporaires : Disponibles depuis le 17 décembre pour les versions 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4 et v19.0 MR2.
- Correctif permanent : Introduit dans la version v21 MR1 et les versions ultérieures.
CVE-2024-12728 :
- Correctifs temporaires : Publiés entre le 26 et le 27 novembre pour les versions v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 et v20 MR2.
- Correctif permanent : Disponible dans les versions v20 MR3, v21 MR1 et les versions ultérieures.
CVE-2024-12729 :
- Correctifs temporaires : Publiés entre le 4 et le 10 décembre pour les versions v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3 et v20 MR3.
- Correctif permanent : Disponible dans les versions v21 MR1 et plus récentes.
Pour savoir comment appliquer les correctifs de Sophos Firewall et vérifier leur installation, référez-vous au document KBA-000010084.
Mesures de mitigation :
Pour ceux qui ne peuvent pas appliquer les correctifs ou mettre à jour, Sophos propose des solutions pour atténuer les risques associés aux vulnérabilités :
- CVE-2024-12728 :
- Limiter l'accès SSH au lien HA dédié, physiquement séparé des autres trafics réseau.
- Réinitialiser la configuration HA avec une phrase secrète personnalisée, suffisamment longue et aléatoire.
- Désactiver SSH sur l'interface WAN pour la gestion à distance et utiliser Sophos Central ou un VPN.
- CVE-2024-12729 :
- Veiller à ce que les interfaces User Portal et Webadmin ne soient pas exposées au WAN.
Ces mesures contribuent à réduire les risques d'exploitation en attendant les mises à jour.
Sources :
https://www.bleepingcomputer.com/news/security/sophos-firewall-vulnerable-to-critical-remote-code-execution-flaw/
https://www.sophos.com/en-us/security-advisories/sophos-sa-20241219-sfos-rce
https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-sophos-firewall-could-allow-for-remote-code-execution_2024-140
RE: Sophos corrige 3 vulnérabilité dans son Firewall - EnZ0 - 27-12-2024
C’est un bon résumé des vulnérabilités découvertes dans Sophos Firewall, et c’est un rappel important sur les risques que posent les configurations mal sécurisées ou des phrases secrètes prédictibles. Le cas de la CVE-2024-12728, en particulier, montre bien comment un élément aussi simple qu'une phrase secrète non aléatoire peut compromettre une infrastructure entière.
Les correctifs proposés par Sophos semblent bien couverts, mais c’est essentiel de vérifier que les systèmes sont effectivement mis à jour et que les bonnes pratiques de mitigation, comme la limitation des accès SSH et la configuration de phrases secrètes robustes, sont appliquées.
Pour aller plus loin, ce genre de faille soulève des questions sur la gestion des configurations par défaut dans les systèmes critiques. Est-ce que vous pensez que les fabricants devraient désactiver par défaut certaines fonctionnalités exposées, comme le SSH ou les interfaces WAN sensibles, pour réduire les risques ? Cela pourrait ouvrir une discussion intéressante sur la responsabilité des fournisseurs versus celle des administrateurs.
Une analyse utile et directement exploitable pour nos projets ou simulations en BTS. Ces cas pratiques renforcent l'idée que la vigilance sur les configurations par défaut est essentielle.
RE: Sophos corrige 3 vulnérabilité dans son Firewall - Omnous_Luminae - 05-01-2025
(27-12-2024, 09:17)EnZ0 a écrit : C’est un bon résumé des vulnérabilités découvertes dans Sophos Firewall, et c’est un rappel important sur les risques que posent les configurations mal sécurisées ou des phrases secrètes prédictibles. Le cas de la CVE-2024-12728, en particulier, montre bien comment un élément aussi simple qu'une phrase secrète non aléatoire peut compromettre une infrastructure entière.En effet, les fabricants devraient désactiver par défaut les fonctionnalités exposées, comme SSH ou les interfaces WAN sensibles, pour réduire les risques de cybersécurité. Cela limite la surface d'attaque, prévient les erreurs humaines, et responsabilise les administrateurs en les obligeant à activer ces services de manière intentionnelle et sécurisée. Cette approche, basée sur le principe du moindre privilège, est particulièrement utile pour les systèmes critiques comme l'IoT ou les infrastructures industrielles. Bien que cela puisse compliquer l'utilisation pour certains, des guides clairs peuvent atténuer ces inconvénients. En résumé, une stratégie "secure by default" est essentielle pour renforcer la sécurité des systèmes critiques.
Les correctifs proposés par Sophos semblent bien couverts, mais c’est essentiel de vérifier que les systèmes sont effectivement mis à jour et que les bonnes pratiques de mitigation, comme la limitation des accès SSH et la configuration de phrases secrètes robustes, sont appliquées.
Pour aller plus loin, ce genre de faille soulève des questions sur la gestion des configurations par défaut dans les systèmes critiques. Est-ce que vous pensez que les fabricants devraient désactiver par défaut certaines fonctionnalités exposées, comme le SSH ou les interfaces WAN sensibles, pour réduire les risques ? Cela pourrait ouvrir une discussion intéressante sur la responsabilité des fournisseurs versus celle des administrateurs.
Une analyse utile et directement exploitable pour nos projets ou simulations en BTS. Ces cas pratiques renforcent l'idée que la vigilance sur les configurations par défaut est essentielle.