CVE-2020-25223

Sophos SG UTM

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-25

Официальное описание

A remote code execution vulnerability exists in the WebAdmin of Sophos SG UTM.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2020-25223) позволяет удаленному атакующему выполнить произвольный код на устройстве Sophos SG UTM через интерфейс WebAdmin. Для эксплуатации не требуется аутентификация. Атакующий отправляет специально сформированный HTTP-запрос, который приводит к переполнению буфера и выполнению кода с привилегиями root.

Как исправить

Установите официальный патч от Sophos, обновив прошивку (firmware) устройства до версии, в которой уязвимость устранена.

  1. Определите текущую версию прошивки. В веб-интерфейсе перейдите в Системное администрирование > Статус.

  2. Загрузите и установите исправленную версию. Уязвимость устранена в следующих версиях:

    • SG UTM (Managed): версия 9.710 MR1 и выше.
    • SG UTM (Standalone): версия 9.710 MR1 и выше.
    • Astaro Security Gateway (ASG): версия 9.710 MR1 и выше.

    Для обновления: * В веб-интерфейсе перейдите в Системное администрирование > Обновление. * Нажмите Проверить обновления. * Если доступна версия 9.710 MR1 или новее, нажмите Установить обновление и следуйте инструкциям.

    Если автоматическое обновление недоступно, скачайте файл прошивки вручную с портала поддержки Sophos и загрузите его через тот же раздел.

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Ограничьте доступ к интерфейсу WebAdmin.

    • В веб-интерфейсе перейдите в Системное администрирование > Администраторы.
    • Для каждой учетной записи администратора настройте Ограничение доступа по IP (Allowed IPs), разрешив подключение только с доверенных сетей (например, внутренней сети управления).
    • Если возможно, полностью отключите доступ к WebAdmin из внешних сетей (WAN) в настройках сетевых интерфейсов или правил брандмауэра.

  2. Используйте VPN для доступа.

    • Запретите прямой доступ к порту WebAdmin (по умолчанию TCP/4444) из интернета.
    • Настройте VPN (IPsec или SSL VPN) на устройстве UTM.
    • Требуйте от администраторов подключаться к сети управления только через VPN перед доступом к WebAdmin.

  3. Настройте правила межсетевого экрана. Создайте правило, которое блокирует все входящие соединения к IP-адресу UTM на порт WebAdmin (4444), кроме траста с доверенных IP-адресов.

    Пример правила (концептуальный): Действие: Запретить Источник: Any Назначение: <Ваш WAN IP> Служба: sophos-admin (или порт TCP/4444)

    Действие: Разрешить Источник: <Доверенная сеть управления, например, 10.10.10.0/24> Назначение: <Ваш WAN IP> Служба: sophos-admin (или порт TCP/4444)

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей