ISGroup Conseil en Cybersécurité

Vulnérabilité de dépassement de tampon (Buffer Overflow) activement exploitée dans Sophos XG Firewall (CVE-2020-15069)

La CVE-2020-15069 est une vulnérabilité critique affectant Sophos XG Firewall v17.x, qui a été activement exploitée dans des environnements réels. La faille réside dans la fonctionnalité du portail utilisateur exposée sur le WAN, rendant les appareils accessibles depuis Internet particulièrement vulnérables. Compte tenu de l’utilisation généralisée des pare-feu Sophos dans les réseaux d’entreprise et gouvernementaux, il est essentiel de mettre en œuvre des mesures d’atténuation immédiates pour prévenir les accès non autorisés et les compromissions potentielles.

ProduitSophos
Date11/02/2025 16:38:52
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

Cette vulnérabilité est due à un dépassement de tampon (buffer overflow) précédemment inconnu dans la fonction de signet HTTP/S du portail utilisateur du pare-feu. Les attaquants peuvent exploiter cette faille à distance pour exécuter du code arbitraire sur les systèmes concernés, avec un risque de compromission complète de l’appareil. Sophos a publié un correctif (hotfix) qui supprime la fonctionnalité vulnérable sur tous les pare-feu XG exécutant SFOS v17.x, tandis que SFOS v18 n’est pas concerné. Les organisations qui n’ont pas encore appliqué le correctif restent exposées au risque d’exploitation.

Recommandations

  • Mise à jour immédiate : Appliquez le correctif (HF062020.1) pour SFOS v17.x ou effectuez la mise à niveau vers SFOS v18.
  • Désactiver le portail utilisateur sur le WAN : Limitez l’accès externe au portail utilisateur du pare-feu, sauf si cela est strictement nécessaire.
  • Réinitialiser les identifiants des administrateurs et des utilisateurs : Modifiez les mots de passe de tous les comptes administratifs et utilisateurs locaux.
  • Activer les mises à jour automatiques : Assurez-vous que les correctifs sont installés automatiquement pour prévenir toute exploitation.
  • Surveiller les indicateurs de compromission : Vérifiez les journaux du pare-feu pour détecter les tentatives d’accès non autorisées et les activités anormales.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *