CVE-2020-15069

Суть уязвимости

CVE-2020-15069 представляет собой критическую уязвимость типа Buffer Overflow (переполнение буфера) в компоненте Clientless VPN устройства Sophos XG Firewall. Проблема локализована в функции обработки "HTTP/S bookmarks".

Злоумышленник может отправить специально сформированный HTTP-запрос на портал пользователя (User Portal), что приведет к переполнению памяти. Это позволяет выполнить произвольный код (RCE) с правами суперпользователя на устройстве без предварительной аутентификации. Уязвимость представляет особую опасность, так как эксплуатируется удаленно через WAN-интерфейс, если на нем включен доступ к User Portal.

Как исправить

Основным способом устранения является обновление микропрограммы (firmware) до версий, в которых ошибка исправлена. Sophos выпустила соответствующие патчи для всех поддерживаемых веток.

1. Проверьте текущую версию прошивки в разделе Backup & Firmware -> Firmware.
2. Установите обновление, если ваша версия ниже указанных:
   • v17.5 MR13 и выше
   • v18.0 MR3 и выше

Для проверки наличия доступных обновлений через консоль:

console> firmware list

Для загрузки и применения патча через веб-интерфейс: - Перейдите в Administration -> Firmware. - Нажмите Check for new firmware. - Загрузите и установите актуальный билд.

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, ограничив доступ к порталу пользователя.

1. Отключите доступ к User Portal из внешней сети (WAN). Перейдите в Administration -> Device Access и снимите галочку с User Portal для зоны WAN.

2. Если доступ извне необходим, ограничьте его только доверенными IP-адресами через создание ACL (Local Service ACL Exception Rule).

3. В качестве дополнительной меры можно временно отключить функционал Clientless VPN.

Команда для проверки статуса доступа к сервисам через консоль:

system system_modules show

Команда для принудительного закрытия доступа к порталу (в случае невозможности использования GUI):

system device-access set userportal wan off