Sophos comble les failles de sécurité du firmware de gestion unifiée des menaces

Le logiciel de gestion unifiée des menaces de Sophos permettait à des attaquants connectés d’injecter et d’exécuter du code arbitraire. Le fabricant comble cette faille de sécurité et d’autres avec la version du firmware Sophos UTM 9.710 MR10. De plus, cette nouvelle version contient également des corrections de bogues non liés à la sécurité.

L’éditeur ne donne pas beaucoup de détails dans l’avis de sécurité. Une vulnérabilité d’injection SQL dans le gestionnaire de messagerie de Sophos UTM pourrait être exploitée par des attaquants déclarés pour éventuellement exécuter du code (CVE-2022-0386, CVSS 8.8, risque élevé). De plus, les fichiers journaux confd contenaient des hachages de mots de passe SHA512crypt d’utilisateurs locaux, y compris root, ce qui rendait possible une attaque par force brute (hors ligne) contre les hachages de mots de passe (CVE-2022-0652, CVSS 3.3, bas).

L’entreprise de sécurité informatique signale d’autres failles de sécurité dans des composants tiers que les firmwares mis à jour colmatent. Ainsi, les versions déployées de bind, Strongswan et binutils étaient vulnérables. De plus, Sophos a amélioré la sécurité SSH en n’utilisant que des chiffrement considérés comme sûrs et des algorithmes d’échange de clés pour SSH. D’autres corrections sont listées par Sophos dans les notes de la version.

L’entreprise distribue la mise à jour en trois phases. Dans la première phase, les administrateurs peuvent télécharger le firmware à partir de serveurs de téléchargement et l’appliquer manuellement. La phase deux livre ensuite la mise à jour en plusieurs étapes via les serveurs de mise à jour appelés Up2Date. Si aucune incompatibilité n’est constatée, les autres appareils seront probablement équipés de la mise à jour lors de la dernière phase.

Comme la nouvelle version du firmware comble plusieurs lacunes de sécurité, les administrateurs doivent prévoir une fenêtre de maintenance pour l’installation de la mise à jour.