CVE-2020-12271

Sophos SFOS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2021-11-03

Официальное описание

Sophos Firewall operating system (SFOS) firmware contains a SQL injection vulnerability when configured with either the administration (HTTPS) service or the User Portal is exposed on the WAN zone. Successful exploitation may cause remote code execution to exfiltrate usernames and hashed passwords for the local device admin(s), portal admins, and user accounts used for remote access (but not external Active Directory or LDAP passwords).

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость SQL-инъекции в веб-интерфейсах (административном HTTPS-сервисе и Портале пользователей) Sophos Firewall OS (SFOS). Если эти сервисы доступны из WAN-зоны, злоумышленник может внедрить произвольный SQL-код.

Результат успешной эксплуатации: * Удаленное выполнение кода (RCE). * Утечка имен и хешированных паролей локальных учетных записей: * Администраторов устройства. * Администраторов портала. * Пользователей для удаленного доступа (но не паролей внешних AD/LDAP).

Как исправить

Установите исправленную версию прошивки SFOS. Патч включен в следующие релизы:

  • Для SFOS v18.0: Обновитесь до версии SFOS 18.0.1 MR-1 или новее.
  • Для SFOS v17.5: Обновитесь до версии SFOS 17.5.12 MR-12 или новее.

Процедура обновления: 1. Скачайте корректный файл обновления (.sig) с портала Sophos. 2. В веб-консоли администратора перейдите: Backup & Firmware > Firmware. 3. Нажмите "Browse", выберите скачанный файл и загрузите его. 4. После успешной загрузки нажмите Install. 5. Система перезагрузится для применения обновления. Запланируйте работу в период обслуживания.

Временное решение

Если немедленное обновление невозможно, ограничьте доступ к уязвимым сервисам.

  1. Уберите веб-интерфейсы из WAN-зоны:

    • Перейдите: System > Administration > Device access.
    • Для параметров HTTPS Administration и User Portal снимите галочку с зоны WAN (и любых других внешних зон). Оставьте доступ только из доверенных внутренних зон (например, LAN) или VPN.

  2. Используйте правила межсетевого экранирования (если доступ из WAN обязателен):

    • Создайте строгое правило Firewall, разрешающее доступ к IP-адресу устройства на портах 4444 (админ) и/или 443 (портал) только с конкретных доверенных внешних IP-адресов.
    • Пример такого правила:
      • Действие: Allow
      • Источник: Ваш доверенный статический IP (например, 203.0.113.5/32)
      • Назначение: WAN-IP вашего фаервола
      • Сервис: HTTPS (tcp/4444) и/или HTTPS (tcp/443)
      • Поместите это правило ВЫШЕ любых разрешающих правил общего доступа.

  3. Рассмотрите использование VPN для административного доступа:

    • Полностью отключите доступ к веб-интерфейсам из WAN.
    • Настройте SSL VPN или IPsec VPN для удаленных администраторов.
    • Подключайтесь к VPN, а затем получайте доступ к интерфейсам через внутренний IP-адрес.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей