Vulnérabilité critique dans les appareils Sophos
Date de publication :
Une vulnérabilité critique a été découverte dans les versions de SFOS utilisées en tant que logiciel intégré pour les appareils Sophos XG Firewall. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles (tels que des noms d’utilisateurs et mots de passe) via une injection SQL.
CVE-2020-12271 [Score CVSS v3 : 10.0] : Une vulnérabilité de type injection SQL a été découverte dans SFOS versions 17.0, 17.1, 17.5, et 18.0. En cas d’exposition du portail administrateur ou utilisateur sur internet, un attaquant distant peut obtenir des informations sensibles via une injection SQL, comprenant noms d’utilisateur et mots de passe hashés des administrateurs et utilisateurs enregistrés sur l’appareil.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
Fuite d’informations sensibles
Criticité
Score CVSS v3 : 10.0
Existence d’un code d’exploitation
Aucun code d’exploitation n’est disponible publiquement à ce jour, cependant le bulletin détaillé du constructeur fait état de l’exploitation active de cette vulnérabilité
Composants vulnérables
SFOS version 17.0, 17.1, 17.5, et 18.0
CVE
CVE-2020-12271
Solutions ou recommandations
Mise en place de correctifs de sécurité
Installer le correctif proposé par le constructeur, des informations sur ce processus (normalement automatique) sont disponibles sur un guide dédié
Solution de contournement
Aucune solution de contournement n’est mentionnée par le constructeur, il est cependant envisageable selon les situations de désactiver l’exposition des portails utilisateur et administrateur sur internet