CVE-2020-29574

Sophos CyberoamOS

ВЕРОЯТНОСТЬ 8.7%
Дата обнаружения

2025-02-06

Официальное описание

CyberoamOS (CROS) contains a SQL injection vulnerability in the WebAdmin that allows an unauthenticated attacker to execute arbitrary SQL statements remotely.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2020-29574 представляет собой критическую уязвимость типа SQL Injection (SQLi) в веб-интерфейсе управления (WebAdmin) операционной системы CyberoamOS. Проблема возникает из-за недостаточной фильтрации входных данных в HTTP-запросах к административной панели.

Поскольку уязвимость эксплуатируется до прохождения аутентификации, удаленный злоумышленник может внедрять произвольные SQL-команды в запросы к базе данных. Это позволяет: * Обходить механизмы аутентификации. * Извлекать конфиденциальную информацию из базы данных (учетные данные, конфигурации). * В определенных условиях изменять параметры системы или создавать новые учетные записи администратора.

Как исправить

Основным и единственным надежным способом устранения уязвимости является обновление прошивки устройства до версии, в которой данная брешь была закрыта производителем.

  1. Выполните резервное копирование конфигурации устройства перед обновлением.
  2. Загрузите актуальную версию прошивки с официального портала Sophos/Cyberoam.
  3. Установите обновление через веб-интерфейс: System > Maintenance > Firmware.

Необходимые версии CyberoamOS для исправления: * Для устройств серии CR: обновитесь до версии 10.6.6 MR-6 или выше. * Для устройств, мигрировавших на Sophos Firewall OS (SFOS): убедитесь, что установлена актуальная версия (рекомендуется v17.5 MR14 или v18.0 MR4 и выше).

Проверка текущей версии через CLI:

system diagnostics show version-info

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки и ограничить доступ к вектору эксплуатации.

  1. Ограничение доступа к WebAdmin: Запретите доступ к административному интерфейсу (порты 443/80 по умолчанию) из внешних сетей (WAN). Доступ должен быть разрешен только из доверенных сегментов (LAN/VPN). Путь в интерфейсе: System > Administration > Appliance Access.

  2. Использование ACL (Access Control Lists): Настройте правила межсетевого экрана так, чтобы доступ к порту управления был разрешен только для конкретных IP-адресов администраторов.

  3. Включение IPS (Intrusion Prevention System): Активируйте сигнатуры защиты от SQL-инъекций на правилах, обрабатывающих трафик к самому устройству (Local ACL).

  4. Смена портов по умолчанию: Измените стандартный порт WebAdmin, чтобы снизить вероятность обнаружения интерфейса автоматизированными сканерами.

set web-admin port 8443
  1. Мониторинг логов: Настройте отправку логов на внешний Syslog-сервер для обнаружения аномальных SQL-запросов в HTTP-трафике.
set syslog host 192.168.1.100 facility daemon severity debug
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей