CVE-2020-15069 è una vulnerabilità critica che interessa Sophos XG Firewall v17.x, la quale è stata attivamente sfruttata in ambienti reali. La falla risiede nella funzionalità del portale utente esposta sulla WAN, rendendo particolarmente vulnerabili i dispositivi accessibili da Internet. Dato l’uso diffuso dei firewall Sophos nelle reti aziendali e governative, è fondamentale attuare misure di mitigazione immediate per prevenire accessi non autorizzati e potenziali compromissioni.
| Sophos |
| 2025-02-11 16:38:52 |
| Fix Available, Active Exploitation |
Riassunto tecnico
Questa vulnerabilità è dovuta a un buffer overflow precedentemente sconosciuto nella funzione di segnalibro HTTP/S del portale utente del firewall. Gli aggressori possono sfruttare da remoto questa falla per eseguire codice arbitrario sui sistemi interessati, con il potenziale di compromissione completa del dispositivo. Sophos ha rilasciato una hotfix che rimuove la funzionalità vulnerabile su tutti i firewall XG che eseguono SFOS v17.x, mentre SFOS v18 non è interessato. Le organizzazioni che non hanno ancora applicato la correzione rimangono esposte al rischio di sfruttamento.
Raccomandazioni
- Aggiornare immediatamente: Applicare la hotfix (HF062020.1) per SFOS v17.x o eseguire l’aggiornamento a SFOS v18.
- Disabilitare il portale utente sulla WAN: Limitare l’accesso esterno al portale utente del firewall salvo che non sia strettamente necessario.
- Reimpostare le credenziali di amministratori e utenti: Modificare le password per tutti gli account amministrativi e degli utenti locali.
- Abilitare gli aggiornamenti automatici: Assicurarsi che le hotfix vengano installate automaticamente per prevenire eventuali sfruttamenti.
- Monitorare gli indicatori di compromissione: Controllare i log del firewall per individuare tentativi di accesso non autorizzati e attività anomale.