L’entreprise Sophos affirme qu’elle vient de corriger une faille de sécurité critique au sein de ses pare-feux et que cette vulnérabilité est activement exploitée dans le cadre d’attaques informatiques !
Pour rappel, Sophos est une entreprise spécialisée dans les solutions de sécurité, notamment des boîtiers UTM (pare-feu « avancé ») et des solutions de protection pour postes clients et serveurs.
La vulnérabilité est associée à la référence CVE-2022-1040 et elle hérite d’un score CVSS de 9,8 sur 10 ! Elle affecte tous les firewalls Sophos qui utilisent le système en version 18.5MR3 (18.5.3) ou une version plus ancienne !
Sophos : comment se protéger de la CVE-2022-1040 ?
La bonne nouvelle, c’est que des correctifs sont disponibles, y compris pour certains modèles qui ne sont plus maintenus (end-of-life). C’est un effort appréciable réalisé par Sophos. Si vous avez activé l’option d’installation automatique des correctifs, votre pare-feu est probablement déjà protégé !
Voici la liste des correctifs mise en ligne sur le site de Sophos (bulletin de sécurité Sophos) :
- Correctifs pour les versions sous support : v17.0 MR10 EAL4+, v17.5 MR16 et MR17, v18.0 MR5(-1) et MR6, v18.5 MR1 et MR2, et v19.0 EAP – disponible depuis le 23 mars 2022
- Correctifs pour les versions en fin de vie : v17.5 MR12 à MR15, et v18.0 MR3 et MR4 – disponible depuis le 23 mars 2022
- Correctifs pour les versions en fin de vie : v18.5 – disponible depuis le 24 mars 2022
- Correctif pour la version v18.5 MR3 – disponible depuis le 24 mars 2022
- Correctifs intégrés aux versions v19.0 GA et v18.5 MR4 (18.5.4)
Si vous utilisez un pare-feu qui ne bénéficiera pas de cette mise à jour, c’est une mauvaise nouvelle. Vous devez mettre à niveau votre appareil autant que possible pour bénéficier de ce correctif.
Pour vérifier si le correctif est installé ou non, vous pouvez suivre cette procédure.
C’est quoi cette faille CVE-2022-1040 ?
La vulnérabilité CVE-2022-1040 est dangereuse, car elle permet d’outrepasser l’authentification sur le portail utilisateur (User Portal) et l’interface d’administration ! Si une attaque réussit, le hacker peut exécuter du code arbitraire à distance sur votre Sophos. C’est un chercheur en sécurité externe qui a remonté l’information à Sophos par l’intermédiaire du programme de Bug Bounty.
Sur le site de Sophos, c’est précisé : « Sophos a observé que cette vulnérabilité était utilisée pour cibler un petit nombre d’organisations spécifiques, principalement dans la région de l’Asie du Sud.« . Néanmoins, il ne faut pas exclure que d’autres entreprises soient ciblées, notamment en Europe où le matériel Sophos est fréquent dans les entreprises.
The post Pare-feu Sophos : cette faille critique est activement exploitée ! first appeared on IT-Connect.