Vulnérabilité critique dans les appareils Sophos
Date de publication :
Une vulnérabilité critique a été découverte dans les versions de SFOS utilisées en tant que logiciel intégré pour les appareils Sophos XG Firewall. Un attaquant distant exploitant cette vulnérabilité peut obtenir des informations sensibles (tels que des noms d’utilisateurs et mots de passe) via une injection SQL.
CVE-2020-12271 [Score CVSS v3 : 10.0] : Une vulnérabilité de type injection SQL a été découverte dans SFOS versions 17.0, 17.1, 17.5, et 18.0. En cas d’exposition du portail administrateur ou utilisateur sur internet, un attaquant distant peut obtenir des informations sensibles via une injection SQL, comprenant noms d’utilisateur et mots de passe hashés des administrateurs et utilisateurs enregistrés sur l’appareil.
Informations
La faille est activement exploitée :
Un correctif existe :
Une mesure de contournement existe :
Risques
- Fuite d’informations sensibles
Criticité
- Score CVSS v3 : 10.0
Existence d’un code d’exploitation
- Aucun code d’exploitation n’est disponible publiquement à ce jour, cependant le bulletin détaillé du constructeur fait état de l’exploitation active de cette vulnérabilité
Composants vulnérables
- SFOS version 17.0, 17.1, 17.5, et 18.0
CVE
- CVE-2020-12271
Solutions ou recommandations
Mise en place de correctifs de sécurité
Installer le correctif proposé par le constructeur, des informations sur ce processus (normalement automatique) sont disponibles sur un guide dédié
Solution de contournement
Aucune solution de contournement n’est mentionnée par le constructeur, il est cependant envisageable selon les situations de désactiver l’exposition des portails utilisateur et administrateur sur internet