Alerte - Vulnérabilité liée au pare-feu Sophos XG – CVE-2020-12271

Numéro : AL20-013
Date : 29 avril 2020

APERÇU

Le 22 avril 2020, Sophos a procédé à l’examen d’un incident IncidentIncident réel au cours duquel un agent de menace exploite une vulnérabilité d’un bien de TI de valeur. qui a mené à la découverte d’une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. (CVE-2020-12271) dans le micrologiciel de son pare-feu XG susceptible de provoquer une préauthentification AuthentificationProcessus ou mesure permettant de vérifier l’identité d’un utilisateur. par injection SQL. Cette vulnérabilité concerne les mises en œuvre physiques et virtuelles du pare-feu XG et Sophos a déterminé qu’elle avait été exploitée activement dans la nature.

Sophos a depuis lancé un correctif en vue de corriger la vulnérabilité dans toutes les versions prises en charge (17.0, 17.1, 17.5 et 18.0) et a publié un rapport décrivant le maliciel MalicielLogiciel malveillant conçu pour infiltrer ou endommager un système informatique. Les maliciels les plus courants sont les virus informatiques, les vers, les chevaux de Troie, les logiciels espions et les logiciels publicitaires. (qu’il désigne sous le nom de « Asnorok ») utilisé lors de l’incident.

DÉTAILS

Une exploitation fructueuse exige un accès à l’interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels. d’administration (service d’administration HTTPS) ou au portail de l’utilisateur du pare-feu XG. Par ailleurs, les autres services de pare-feu qui ont été configurés manuellement pour s’exécuter sur les mêmes ports en tant qu’administrateur ou en tant que portail de l’utilisateur pourraient également être touchés par cette vulnérabilité.

Le maliciel exfiltre les données depuis les appliances du pare-feu XG. Cette exfiltration ExfiltrationRetrait non autorisé de données ou de fichiers d’un système par un intrus. peut, entre autres, inclure tous les noms d’utilisateur et les mots de passe hachés des comptes appartenant aux utilisateurs locaux et aux utilisateurs administratifs. Les mots de passe associés à des systèmes d’authentification externes comme Active Directory (AD) ou LDAP n’ont pas été compromis.

MESURES RECOMMANDÉES

Les administrateurs devraient consulter la section des messages du centre de contrôle dans l’interface de gestion du pare-feu XG pour s’assurer que le correctif a bien été appliqué. Sophos a signalé que dans certains cas, ce message pourrait indiquer une compromission CompromissionDivulgation intentionnelle ou non intentionnelle d’information mettant en péril la confidentialité, l'intégrité ou la disponibilité de ladite information. .

Pour ce qui est des dispositifs XG compromis sur lesquels le correctif a été installé, Sophos recommande de suivre les étapes additionnelles suivantes pour résoudre entièrement le problème :

• Réinitialiser les comptes d’administrateur du dispositif;
• Redémarrer le ou les dispositifs XG;
• Réinitialiser les mots de passe de tous les comptes d’utilisateurs locaux;

Bien qu’ils aient été hachés, il est recommandé de réinitialiser les mots de passe de tous les comptes à partir desquels les justificatifs d’identité de XG pourraient avoir été utilisés.

De plus, Sophos recommande de désactiver les services d’administration HTTPS sur l’interface du réseau étendu (WAN pour Wide Area Network). Si le portail de l’utilisateur n’est pas utilisé, Sophos recommande de désactiver ce service sur le WAN également.

INDICATEURS DE COMPROMISSION

Pour les indicateurs de compromission relevés lors de l’incident, consultez l’analyse détaillée de Sophos dont le lien est indiqué dans la section RÉFÉRENCES ci-dessous.

RÉFÉRENCES

Article de la base de connaissances de Sophos :
https://community.sophos.com/kb/en-us/135412 (en anglais seulement) 
 
Analyse détaillée de Sophos :
https://news.sophos.com/en-us/2020/04/26/asnarok/ (en anglais seulement) 

NOTE AUX LECTEURS

Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (Centre pour la cybersécurité) mène ses activités sous l’égide du Centre de la sécurité des télécommunications.  Il est l’autorité canadienne en matière de cybersécurité et dirige les interventions du gouvernement lors d’événements liés à la cybersécurité. Agissant à titre d’équipe nationale d’intervention en cas d’incident lié à la sécurité informatique au Canada, le personnel du Centre pour la cybersécurité travaille étroitement avec les ministères, les propriétaires et les exploitants d’infrastructures essentielles, les entreprises canadiennes et les partenaires internationaux pour élaborer et appliquer des moyens d’intervention, d’atténuation et de reprise en cas d’incidents de cybersécurité. C’est dans cette optique que nous prodiguons des conseils d’experts et offrons un soutien de premier plan, et que nous coordonnons la diffusion de l’information pertinente ainsi que les interventions en cas d’incident. Le Centre pour la cybersécurité est à l’écoute des entités externes et favorise les partenariats visant à créer un cyberespace canadien fort et résilient.

On peut communiquer avec le Centre pour la cybersécurité grâce aux coordonnées suivantes :
Courriel : contact@cyber.gc.ca
Numéro sans frais : 1-833-CYBER-88 (1-833-292-3788)