Empresas que utilizam firewalls Sophos da linha Cyberoam com o sistema operacional CROS versão 10.6.6 MR-5 ou anterior estão em perigo caso eles não tenham recebido as últimas atualizações. Acontece que o sistema operacional tem uma vulnerabilidade grave, corrigida pela Sophos em 30 de Setembro, mas que ainda pode estar presente em dispositivos não ajustados para atualização automática.
A vulnerabilidade, registrada como CVE-2019-17059, pode ser melhor avaliada na página que trata dela no NIST, o National Institute of Standards and Technology, órgão do Departamento de Comércio dos EUA. Ali está indicado que ela é uma vulnerabilidade de grau 9.8, de um máximo de 10.0, e sua descrição diz: “Uma vulnerabilidade de injeção de shell no dispositivo de firewall Sophos Cyberoam com CyberoamOS anterior a 10.6.6 MR-6 permite que atacantes remotos executem comandos arbitrários por meio dos consoles Web Admin e SSL VPN”.
Em outras palavras, o problema permite que alguém obtenha remotamente permissões de “root” em um dispositivo vulnerável, obtendo o nível mais alto de acesso. Com isso, será possível controlar o dispositivo pela Internet. O pesquisador brasileiro Maurício Corrêa, fundador da empresa gaúcha de segurança XLabs Security, disse ao CISO Advisor que a falha é tão perigosa quanto as de VPN SSL dos firewalls Fortigate, Palo-Alto e outros, noticiadas há algumas semanas. Um dos perigos, explicou, é a possibilidade de uma pessoa mal intencionada interceptar os dados na borda da rede de qualquer empresa que possua o firewall afetado pela falha. Além de interceptar os dados, disse o pesquisador, será possível fazer com que o firewall deixe de detectar e filtrar ataques, facilitando a ação de atacantes.
Registrada como CVE-2019-17059, essa vulnerabilidade foi descoberta pelo especialista Rob Mardisalu, que informou o problema à Sophos antes de divulgá-lo. Nas entrevistas que deu para a mídia, Mardisalu disse: “Estamos trabalhando duro com pesquisadores de segurança interna e externa para descobrir brechas sérias e exploráveis remotamente em VPNs, SSL e firewalls como Cyberoam, Fortigate e Cisco. Essa exploração do Cyberoam é uma vulnerabilidade crítica que permite aos invasores acessar seu dispositivo Cyberoam sem fornecer qualquer nome de usuário ou senha. Além disso, o acesso concedido é o nível mais alto (raiz), o que essencialmente concede a um invasor direitos ilimitados no seu dispositivo Cyberoam.”
Os firewalls Cyberoam são usados em grandes empresas, protegendo-as contra ataques de DoS, DDoS e falsificação de IP.
Mardisalu revelou que, segundo o portal Shodan, existem mais de 96.000 dispositivos Cyberoam abertos para a Internet em todo o mundo, a maioria deles em bancos e universiades.
Não foi a primeira vulnerabilidade descoberta nesses equipamentos. Em Julho de 2012, um pesquisador do projeto Tor e um engenheiro de segurança de software do Google revelaram que todos os dispositivos Cyberoam com recursos de inspeção de tráfego SSL usavam o mesmo certificado – um certificado auto-gerado. Isso tornava possível interceptar qualquer tráfego num dispositivo Cyberoam por meio de outro dispositivo Cyberoam. Cada dispositivo só passou a ter seu certificado exclusivo depois de a Cyberoam distribuir uma atualização corrigindo essa falha.
A filial brasileira da empresa enviou ao CISO Advisor em 22 de Outubro a informação de que “a questão foi resolvida no final de setembro com um hotfix automático. A política padrão da Sophos é atualizar automáticamente e a empresa recomenda essa ação como boa prática de segurança. Trabalhamos rapidamente para solucionar o problema e garantir a proteção dos clientes. A segurança dos nossos clientes e a ação rápida para corrigir são nossas principais prioridades. Para mais informações, os clientes podem acessar: https://community.sophos.com/kb/en-us/134732. Além disso, o número compartilhado pelo Shodan não representa os dispositivos vulneráveis. O Shodan mostra as páginas de administração e os portais SSLVPN, e por isso não podemos dizer conclusivamente que todos são dispositivos únicos”.
Com agências internacionais