ISGroup Conseil en Cybersécurité

Vulnérabilité d’injection SQL pré-authentification dans Sophos Cyberoam OS (CVE-2020-29574)

Une vulnérabilité critique d’injection SQL pré-authentification a été découverte et corrigée dans Sophos Cyberoam OS (CROS), permettant à des attaquants distants d’exécuter des commandes SQL si l’interface d’administration est exposée sur le réseau étendu (WAN). Cette vulnérabilité a été ajoutée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA, ce qui indique qu’elle est activement exploitée. Sophos a déployé un correctif (hotfix) pour les appareils concernés, mais les organisations utilisant des pare-feu Cyberoam doivent s’assurer que leurs systèmes sont à jour ou migrer vers Sophos XG Firewall, les appareils Cyberoam étant en fin de vie depuis 2019.

ProduitCyberoam
Date11/02/2025 09:35:55
Informations
  • Correctif disponible
  • Exploitation active

Résumé technique

La vulnérabilité réside dans l’interface d’administration web de Cyberoam OS (CROS) et peut être exploitée à distance via une injection SQL. Si le service HTTPS d’administration est exposé sur Internet, un attaquant peut manipuler les requêtes SQL pour ajouter des comptes utilisateurs non autorisés au système. Le défaut permet à un attaquant non authentifié d’obtenir le contrôle du pare-feu concerné, avec des implications potentielles de compromission du réseau.

Sophos a fourni des correctifs automatiques via OTA (over-the-air) pour les versions prises en charge de CROS. Cependant, les organisations utilisant encore des appareils Cyberoam doivent vérifier manuellement que leurs systèmes sont à jour en exécutant la commande cyberoam diagnostics show version-info.

Recommandations

  • Appliquer le correctif immédiatement : Assurez-vous que Cyberoam OS est mis à jour vers la dernière version en vérifiant la présence du correctif via la commande de diagnostic.
  • Désactiver l’exposition WAN : Les administrateurs doivent désactiver l’accès WAN à l’interface d’administration web et au SSH pour limiter les accès non autorisés.
  • Rechercher les utilisateurs non autorisés : Les équipes de sécurité doivent examiner les comptes utilisateurs présents sur les appareils Cyberoam pour détecter tout signe de compromission.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *