Sophos Cyberoam SSL VPN má závažnú chybu, ktorá pripomína chyby v Palo Alto, Pulse Secure a Fortinet FortiGate

cyberoam

Zdroj: TechCrunch, TheBestVPN, Sophos

Včera vydal Sophos upozornenie, ktoré popisuje Preauth-RCE chybu v ich Cyberoam Firewall zariadeniach s CyberoamOS (CROS) verzie 10.6.6 MR-5 a nižšej. Chyba sa dá zneužiť zaslaním upravenej požiadavky na Web admin konzolu alebo SSL VPN konzolu. Chyba dostala označenie CVE-2019-17059 a umožňuje preniknutie do vnútornej siete bez autentifikácie.

Používatelia s verziou CROS 10.6.4 a vyššou, ktorí majú zapnutú automatickú aktualizáciu (default nastavenie), majú od 30.9.2019 aktualizovanú verziu. Ostatní si musia skontrolovať v akom stave sa nachádza ich zariadenie.

Chybu popísal bezpečnostný výskumník firmy TheBestVPN na firemnom blogu. Zatiaľ podľa všetkého neexistuje voľne dostupný exloit a výskumník sľúbil uverejniť POC (proof of concept) kód v nastávajúcich mesiacoch.

V incident blogu sme sa pozreli na to, ako to vyzerá na svete a na Slovensku. Podľa informácie služby Shodan je na svete 91.715 zariadení a na Slovensku 40 zariadení. Je ťažké odhadnúť koľko ich je stále zraniteľných. Sophos tvrdí bez uvedenia presných čísel, že 99% zariadení už bolo aktualizovaných.

Obrázok č.1: Počet všetkých viditeľných Cyberoam zariadení na svete podľa služby Shodan
Zdroj: incident.sk

Obrázok č.2: Počet všetkých viditeľných Cyberoam zariadení na Slovensku podľa služby Shodan
Zdroj: incident.sk

Pri letmom pohľade na zariadenia exponované do internetu na Slovensku, majú niektoré zapnutú Web admin konzolu. To nie je veľmi dobrý nápad, lebo admin konzola by mala byť viditeľná len z internej siete, hlavne ak nie je implementovaná dvojfaktorová autentifikácia.

Čo je zaujímavé a veľmi užitočné Sophos Support má SMS notifikačný servis, ktorý vám pošle SMS ak vyjde nová verzia alebo kritická aktualizácia. Ak máte na starosti zariadenia Sophos, odporúčam si ho zapnúť.

Obrázok: incident.sk

Facebook
Twitter
LinkedIn
Pinterest

ĎALŠIE ČLÁNKY, KTORÉ BY ŤA MOHLI ZAUJÍMAŤ

Cena ITAPA 2022 opäť hľadá najlepšie projekty

Cena ITAPA 2022 opäť hľadá najlepšie projekty v oblasti inovácií, digitalizácie a modernizácie spoločnosti Bratislava 4. októbra 2022 – ITAPA už po 21-krát vyhlasuje prestížnu súťaž Cena…