شناسایی و رفع آسیب پذیری CVE2022-3236 در Sophos Firewall

/۰ دیدگاه /در , , /توسط

طبق اعلام شرکت سوفوس در تاریخ یکم مهرماه سال ۱۴۰۱، آسیب پذیری جدیدی در بخش های User Portal و Web Admin تجهیزات Sophos Firewall یافت شده است که به مهاجمان اجازه می دهد با استفاده از حملات اجرای کد از راه دور (Remote Code Execution)، دسترسی غیر مجاز به فایروال داشته باشد. لازم به ذکر است، در حال حاضر این آسیب پذیری شناسایی و رفع شده است.

طبق اطلاعیه شرکت سوفوس، کاربران این فایروال در صورت رعایت پیش فرض های امنیتی، نیازی به انجام تغییرات در فایروال ندارند و این آسیب پذیری به صورت خودکار با دریافت Hotfix در فرمویر های پشتیبانی شده رفع شده است.

همچنین با توجه به خطرات این آسیب پذیری، شرکت سوفوس Hotfix های امنیتی را برای تعدادی از فرمویر هایی که به صورت رسمی پشتیبانی نمی شوند هم ارائه کرده است. لیست زیر شامل تمام فرمویر هایی می باشد که Hotfix برای آن ها ارائه شده است.

v19.0 GA, MR1, and MR1-1 –

v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4 –

v18.0 MR3, MR4, MR5, and MR6 –

v17.5 MR12, MR13, MR14, MR15, MR16, and MR17 –

v17.0 MR10 –

 

در همین راستا، شرکت iCTN به مشتریان خود پیشنهاد می کند تا با بررسی موارد ذیل، از دریافت خودکار Hotfix های امنیتی بر روی دستگاه های خود اطمینان حاصل نمایند:

۱.بروز رسانی فرمویر فایروال به آخرین نسخه های پشتیبانی شده توسط شرکت سوفوس به صورت رسمی: در حال حاضر نسخه های ۱۸.۵.۳ و بالاتر پشتیبانی می شوند و پیشنهاد می شود تمامی تجهیزات با فرمویر های نسخه های پایین تر به نسخه های پشتیبانی شده بروز رسانی شوند.

۲.حصول اطمینان از دریافت بروز رسانی ها از طریق سرور شرکت iCTN: از مسیر  Administration > SFM و یا Administration > Central Management اطمینان حاصل نمایید که تنظیمات مطابق تصویر زیر به شکل صحیح اعمال شده است.

۳. حصول اطمینان از دریافت Hotfix ها به صورت خودکار: از مسیر Administration > Firmware اطمینان حاصل نمایید که گزینه دریافت خودکار Hotfix ها فعال می باشد.

 

۴. حصول اطمینان از دریافت Hotfix مربوط به این آسیب پذیری: پس از اتصال به CLI دستگاه از طریق SSH، وارد گزینه ۴ شوید و با وارد کردن دستور ذیل، نسخه Hotfix را بررسی نمایید. نسخه Hotfix می بایست HF092122.1 یا بالاتر باشد.

 

لازم به ذکر است تمامی تنظیمات فوق توسط کارشناسان شرکت iCTN به هنگام نصب و راه اندازی محصول انجام شده است و اکیدا توصیه می شود تغییری در آن ها صورت نگیرد.

برای دریافت اطلاعات بیشتر به لینک های زیر مراجعه نمایید و یا از طریقه سامانه پشتیبانی (https://support.ictn.ir ) تیکت ثبت نمایید و یا با کارشناسان فنی شرکت iCTN از طریق شماره تلفن ۲۲۱۳۹۲۳۰-۰۲۱ در ارتباط باشید.

https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce

https://support.sophos.com/support/s/article/KB-000044539?language=en_US

https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Administration/DeviceAccess/index.html

https://support.sophos.com/support/s/article/KB-000044539?language=en_US

Advisory: Sophos Firewall – Appliance goes into failsafe mode when firmware upgrades to 19.0 GA with the reason “Unable to start logging daemon”

/۱ دیدگاه/در , , /توسط

Status: On-going 

Overview

If your device is using a configuration previously restored from a Cyberoam backup, and you have NOT regenerated the appliance certificate on SFOS, upgrading to SFOS v19 will result in operation in fail safe mode.

Appliance goes into the failsafe mode with the reason “Unable to start logging daemon” when firmware upgrade to SFOS v19.0 GA. Garner service will go in a dead state.

Product and Environment

Sophos Firewall: upgrading to v19.0 GA

Impact

The appliance goes into failsafe mode after upgrading to SOFS v19.0 GA if the device had the “Appliance certificate” generated with “md5WithRSAEncryption”. The appliance certificate generated in Cyberoam devices uses a weak signature algorithm (MD5) that is NOT supported for appliance certificates in SFOS v19.

Symptom

  1. The appliance goes into the failsafe mode with the reason “Unable to start logging daemon
    To find out the root cause of the failsafe mode, do as follow:
  • Access Sophos Firewall via SSH or console cable.
  • Select Device Console and press Enter.
  • Run the command “show failure-reason” and press Enter.
    If affected, you should see the following message:
    failsafe> show failure-reason
    Unable to start Logging Daemon.
  1. Garner service becomes dead.
    To check garner service status, run the command “#service -S | grep garner”
    If affected, you should see the following message:
    garner DEAD
  2. The following error is shown in garner.log:
    ERROR May 24 12:01:34Z [4152300608]: SSL_ERR: Error loading certificate to OpenSSL

If all three symptoms are matching then appliance is affected with this issue.

How can I identify whether appliance is affected with this issue before upgrading to v19.0 GA?

Check the Signature Algorithm of the Appliance certificate by running the following command on the advanced shell:

      openssl x509 -in /conf/certificate/ApplianceCertificate.pem -text -noout

If the output shows the signature algorithm as “md5WithRSAEncryption“, DO NOT upgrade to v19 before regenerating the appliance certificate.

Resolution

Please check two feasible workarounds for this issue.

Rollback to the previous version

In Sophos Firewall, go to Backup & firmware > Firmware. You can see the previous version under Firmware. If you want to roll back, click the button for Boot firmware image for the previous version.

Verify the Signature Algorithm of the Appliance certificate

Note: Regenerating the appliance certificate will have some impact. Make sure to read the section Impact of the regenerating appliance certificate“.

On 18.5.MR3 or previous versions, verify the Signature Algorithm of the Appliance certificate by running the following command on the advanced shell:
openssl x509 -in /conf/certificate/ApplianceCertificate.pem -text -noout

If the output shows the signature algorithm as “md5WithRSAEncryption“, DO NOT upgrade to v19 before regenerating the appliance certificate.

To regenerate the appliance certificate from the UI,

  1. Go to SYSTEM > Certificates > ApplianceCertificate.
  2. Click Apply on the “Regenerate certificate manage” section.

Already affected by the issue?

If you are already affected by this issue (running 19.0.x in Failsafe mode), do as follow:

  1. Rollback to 18.5.MR3
  2. Regenerate Appliance certificate from the UI
  3. Run “openssl x509 -in /conf/certificate/ApplianceCertificate.pem -text -noout”
    The output should show “Signature Algorithm: sha256WithRSAEncryption”
  4. Migrate to SFOS v19.0.x by downloading the latest firmware (do not do firmware switchover to 19.0.x)

Impact of the regenerating appliance certificate

The regenerated appliance certificate must be replaced for the features dependent on the appliance certificate:

  1. SSLVPN remote access: Regenerating the appliance certificate results in remote users being unable to connect via VPN to the Sophos Firewall.  Have the remote VPN user(s) re-download their client configuration package from the user portal to fix the issue.
  2. SSLVPN site-to-site server-side SFOS: Regenerating the appliance certificate results in a connection failure of the SSLVPN client. Download the SSLVPN server configuration and import it again on the SSLVPN S2S client-side firewall.