Posté le avril 26, 2020 à 18:14
SOPHOS AFFIRME QUE DES HACKERS ONT EXPLOITÉ LA FAILLE ZERO-DAY DE SON PARE-FEU
La société de cybersécurité Sophos a rejoint la longue file de victimes dont les réseaux ont été compromis par des hackers.
Hier, la société a publié une mise à jour de sécurité, qui était nécessaire pour corriger la vulnérabilité de jour zéro de son produit d’entreprise XG. Elle a indiqué que le produit pare-feu avait été exploité par des hackers.
Sophos a révélé qu’elle avait découvert la vulnérabilité « zero-day » pour la première fois mercredi, après avoir reçu une alerte d’un de ses utilisateurs. Selon l’utilisateur, l’interface de gestion de l’entreprise de cybersécurité a été infectée par une valeur de champ suspect.
Au cours de ses investigations, Sophos a réalisé que la valeur du champ suspect n’était pas une erreur mais une attaque réelle sur son serveur.
Un hacker a volé des mots de passe en abusant d’une faille d’injection SQL
Sophos a révélé que les hackers ont obtenu l’accès pour exposer les appareils XG en utilisant des vulnérabilités d’injection SQL.
Ils ont infiltré les systèmes de pare-feu XG de Sophos et ont exposé le panneau de contrôle du portail utilisateur, ainsi que le service HTTPS de l’entreprise.
Sophos a également réitéré que les cybercriminels ont profité de la faille de l’injection SQL et ont téléchargé une feuille de paie sur le système. Après avoir téléchargé la feuille de paie, il a volé les fichiers du pare-feu XG.
Selon la société de sécurité, les données compromises comprenaient des mots de passe et des noms d’utilisateur hachés des comptes d’utilisateurs utilisés pour accéder au dispositif, aux administrateurs du portail du pare-feu, ainsi qu’au dispositif de pare-feu.
Outre ces données infectées, les mots de passe des clients pour les systèmes d’authentification tels que LDAP ou AD ont également été compromis.
L’entreprise de sécurité a souligné que lors de l’enquête, aucun élément ne suggère que les attaquants ont accédé aux dispositifs de pare-feu XG en utilisant les mots de passe volés. Elle n’a pas non plus découvert d’infractions sur les réseaux internes des clients ou de compromission au-delà du pare-feu.
Sophos a déclaré que des mises à jour ont été envoyées aux clients
La société de sécurité britannique, réputée pour ses produits antivirus populaires, a révélé qu’elle avait déjà envoyé la mise à jour à ses clients pour corriger les vulnérabilités. La mise à jour automatique fournira des correctifs pour tous les pare-feu XG qui activent la fonction de mise à jour automatique.
Sophos a déclaré qu’avec le serveur mis à jour, il n’y aura pas d’autres exploitations sur l’appareil. Il a ajouté que le correctif empêchait le pare-feu XG d’accéder à l’infrastructure de l’attaquant et empêchait toute nouvelle infiltration des dispositifs.
« Ce correctif a éliminé la vulnérabilité de l’injection SQL qui empêchait toute exploitation supplémentaire », a déclaré la société de sécurité.
En plus des mises à jour, une boîte unique sera ajoutée au panneau de configuration du pare-feu XG, qui informera les clients si leur appareil a été infiltré.
Conseils aux clients affectés
Sophos a également recommandé des solutions pour les clients dont les appareils ont été piratés. Les processus comprenaient le redémarrage de leurs appareils et la réinitialisation de leurs mots de passe. Elle a indiqué que les hackers n’auront plus accès aux appareils si les entreprises redémarrent leurs appareils et réinitialisent les mots de passe.
Même si les enregistrements compromis contiennent des comptes reconfigurés, Sophos recommande aux clients de réinitialiser les mots de passe pour les comptes où le compte XG aurait pu être utilisé.
Bien que les mots de passe aient été hachés, il est recommandé de réinitialiser les mots de passe pour tous les comptes où les identifiants XG auraient pu être réutilisés.
En outre, la société de sécurité a recommandé aux entreprises qui n’ont pas besoin de la fonction de ports orientés vers l’Internet de désactiver l’interface d’administration du pare-feu. Elle a en outre fourni des instructions pour désactiver cette interface dans son rapport officiel sur l’incident de piratage.
Sophos est une entreprise de logiciels et de matériel de sécurité qui développe des produits de sécurité de pointe pour la gestion unifiée des menaces, la sécurité mobile, la sécurité de la messagerie électronique, la sécurité des réseaux, le cryptage et les terminaux de communication.
La société a récemment lancé son nouveau produit de sécurité Sophos Intercept X, qui combine quatre composants critiques importants pour assurer la sécurité de ses clients.
La récente attaque de ses systèmes montre à quel niveau les hackers vont infiltrer les entreprises. Et si les cybercriminels peuvent compromettre des entreprises technologiques comme Facebook et Twitter, et maintenant une entreprise de sécurité contre les cyber-menaces, cela montre qu’ils sont capables de compromettre n’importe quel système.
En conséquence, il a été conseillé aux organisations de renforcer leurs systèmes de sécurité et d’appliquer les mises à jour aussi rapidement que possible pour maintenir la sécurité et la protection de leur réseau et de leurs données.
