Pare-feu Sophos : cette faille critique est activement exploitée !
L'entreprise Sophos affirme qu'elle vient de corriger une faille de sécurité critique au sein de ses pare-feux et que cette vulnérabilité est activement exploitée dans le cadre d'attaques informatiques !
Pour rappel, Sophos est une entreprise spécialisée dans les solutions de sécurité, notamment des boîtiers UTM (pare-feu "avancé") et des solutions de protection pour postes clients et serveurs.
La vulnérabilité est associée à la référence CVE-2022-1040 et elle hérite d'un score CVSS de 9,8 sur 10 ! Elle affecte tous les firewalls Sophos qui utilisent le système en version 18.5MR3 (18.5.3) ou une version plus ancienne !
Sophos : comment se protéger de la CVE-2022-1040 ?
La bonne nouvelle, c'est que des correctifs sont disponibles, y compris pour certains modèles qui ne sont plus maintenus (end-of-life). C'est un effort appréciable réalisé par Sophos. Si vous avez activé l'option d'installation automatique des correctifs, votre pare-feu est probablement déjà protégé !
Voici la liste des correctifs mise en ligne sur le site de Sophos (bulletin de sécurité Sophos) :
- Correctifs pour les versions sous support : v17.0 MR10 EAL4+, v17.5 MR16 et MR17, v18.0 MR5(-1) et MR6, v18.5 MR1 et MR2, et v19.0 EAP - disponible depuis le 23 mars 2022
- Correctifs pour les versions en fin de vie : v17.5 MR12 à MR15, et v18.0 MR3 et MR4 - disponible depuis le 23 mars 2022
- Correctifs pour les versions en fin de vie : v18.5 - disponible depuis le 24 mars 2022
- Correctif pour la version v18.5 MR3 - disponible depuis le 24 mars 2022
- Correctifs intégrés aux versions v19.0 GA et v18.5 MR4 (18.5.4)
Si vous utilisez un pare-feu qui ne bénéficiera pas de cette mise à jour, c'est une mauvaise nouvelle. Vous devez mettre à niveau votre appareil autant que possible pour bénéficier de ce correctif.
Pour vérifier si le correctif est installé ou non, vous pouvez suivre cette procédure.
C'est quoi cette faille CVE-2022-1040 ?
La vulnérabilité CVE-2022-1040 est dangereuse, car elle permet d'outrepasser l'authentification sur le portail utilisateur (User Portal) et l'interface d'administration ! Si une attaque réussit, le hacker peut exécuter du code arbitraire à distance sur votre Sophos. C'est un chercheur en sécurité externe qui a remonté l'information à Sophos par l'intermédiaire du programme de Bug Bounty.
Sur le site de Sophos, c'est précisé : "Sophos a observé que cette vulnérabilité était utilisée pour cibler un petit nombre d'organisations spécifiques, principalement dans la région de l'Asie du Sud.". Néanmoins, il ne faut pas exclure que d'autres entreprises soient ciblées, notamment en Europe où le matériel Sophos est fréquent dans les entreprises.