Firewalls da Sophos exigem update urgente

Paulo Brito
21/10/2019
Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest

Empresas que utilizam firewalls Sophos da linha Cyberoam com o sistema operacional CROS versão 10.6.6 MR-5 ou anterior estão em perigo caso eles não tenham recebido as últimas atualizações. Acontece que o sistema operacional tem uma vulnerabilidade grave, corrigida pela Sophos em 30 de Setembro, mas que ainda pode estar presente em dispositivos não ajustados para atualização automática.

A vulnerabilidade, registrada como CVE-2019-17059, pode ser melhor avaliada na página que trata dela no NIST, o National Institute of Standards and Technology, órgão do Departamento de Comércio dos EUA. Ali está indicado que ela é uma vulnerabilidade de grau 9.8, de um máximo de 10.0, e sua descrição diz: “Uma vulnerabilidade de injeção de shell no dispositivo de firewall Sophos Cyberoam com CyberoamOS anterior a 10.6.6 MR-6 permite que atacantes remotos executem comandos arbitrários por meio dos consoles Web Admin e SSL VPN”.

Em outras palavras, o problema permite que alguém obtenha remotamente permissões de “root” em um dispositivo vulnerável, obtendo o nível mais alto de acesso. Com isso, será possível controlar o dispositivo pela Internet. O pesquisador brasileiro Maurício Corrêa, fundador da empresa gaúcha de segurança XLabs Security, disse ao CISO Advisor que a falha é tão perigosa quanto as de VPN SSL dos firewalls Fortigate, Palo-Alto e outros, noticiadas há algumas semanas. Um dos perigos, explicou, é a possibilidade de uma pessoa mal intencionada interceptar os dados na borda da rede de qualquer empresa que possua o firewall afetado pela falha. Além de interceptar os dados, disse o pesquisador, será possível fazer com que o firewall deixe de detectar e filtrar ataques, facilitando a ação de atacantes.

Registrada como CVE-2019-17059, essa vulnerabilidade foi descoberta pelo especialista Rob Mardisalu, que informou o problema à Sophos antes de divulgá-lo. Nas entrevistas que deu para a mídia, Mardisalu disse: “Estamos trabalhando duro com pesquisadores de segurança interna e externa para descobrir brechas sérias e exploráveis ​​remotamente em VPNs, SSL e firewalls como Cyberoam, Fortigate e Cisco. Essa exploração do Cyberoam é uma vulnerabilidade crítica que permite aos invasores acessar seu dispositivo Cyberoam sem fornecer qualquer nome de usuário ou senha. Além disso, o acesso concedido é o nível mais alto (raiz), o que essencialmente concede a um invasor direitos ilimitados no seu dispositivo Cyberoam.”
Os firewalls Cyberoam são usados ​​em grandes empresas, protegendo-as contra ataques de DoS, DDoS e falsificação de IP.

Mardisalu revelou que, segundo o portal Shodan, existem mais de 96.000 dispositivos Cyberoam abertos para a Internet em todo o mundo, a maioria deles em bancos e universiades.

Não foi a primeira vulnerabilidade descoberta nesses equipamentos. Em Julho de 2012, um pesquisador do projeto Tor e um engenheiro de segurança de software do Google revelaram que todos os dispositivos Cyberoam com recursos de inspeção de tráfego SSL usavam o mesmo certificado – um certificado auto-gerado. Isso tornava possível interceptar qualquer tráfego num dispositivo Cyberoam por meio de outro dispositivo Cyberoam. Cada dispositivo só passou a ter seu certificado exclusivo depois de a Cyberoam distribuir uma atualização corrigindo essa falha.

A filial brasileira da empresa enviou ao CISO Advisor em 22 de Outubro a informação de que “a questão foi resolvida no final de setembro com um hotfix automático. A política padrão da Sophos é atualizar automáticamente e a empresa recomenda essa ação como boa prática de segurança. Trabalhamos rapidamente para solucionar o problema e garantir a proteção dos clientes. A segurança dos nossos clientes e a ação rápida para corrigir são nossas principais prioridades. Para mais informações, os clientes podem acessar: https://community.sophos.com/kb/en-us/134732. Além disso, o número compartilhado pelo Shodan não representa os dispositivos vulneráveis. O Shodan mostra as páginas de administração e os portais SSLVPN, e por isso não podemos dizer conclusivamente que todos são dispositivos únicos”.

Com agências internacionais

Compartilhar:

Compartilhar no linkedin
Compartilhar no email
Compartilhar no whatsapp
Compartilhar no facebook
Compartilhar no twitter
Compartilhar no pinterest