ISGroup Consultoría de Ciberseguridad

Vulnerabilidad de Inyección SQL Pre-Autenticación en Sophos Cyberoam OS (CVE-2020-29574)

Se ha descubierto y corregido una vulnerabilidad crítica de inyección SQL pre-autenticación en Sophos Cyberoam OS (CROS), que permite a atacantes remotos ejecutar comandos SQL si la interfaz administrativa está expuesta a la WAN. Esta vulnerabilidad ha sido añadida al catálogo KEV (Known Exploited Vulnerabilities) de CISA, lo que indica que está siendo explotada activamente. Sophos ha distribuido un parche correctivo (hotfix) para los dispositivos afectados, pero las organizaciones que utilizan firewalls Cyberoam deben asegurarse de que sus sistemas estén actualizados o migrar a Sophos XG Firewall, ya que los dispositivos Cyberoam están fuera de servicio desde 2019.

ProductoCyberoam
Fecha2025-02-11 09:35:55
Información
  • Parche disponible
  • Explotación activa

Resumen técnico

La vulnerabilidad reside en la interfaz administrativa web de Cyberoam OS (CROS) y puede ser explotada de forma remota mediante inyección SQL. Si el servicio HTTPS de administración está expuesto a internet, un atacante puede manipular las consultas SQL para añadir cuentas de usuario no autorizadas al sistema. El defecto permite a un atacante no autenticado obtener el control del firewall afectado, con potenciales implicaciones de compromiso de la red.

Sophos ha proporcionado parches correctivos automáticos vía OTA (over-the-air) para las versiones compatibles de CROS. Sin embargo, las organizaciones que todavía utilizan dispositivos Cyberoam deben verificar manualmente que sus sistemas estén actualizados ejecutando el comando cyberoam diagnostics show version-info.

Recomendaciones

  • Aplicar el parche inmediatamente: Asegúrese de que Cyberoam OS esté actualizado a la última versión comprobando la presencia del parche correctivo mediante el comando de diagnóstico.
  • Desactivar la exposición WAN: Los administradores deben deshabilitar el acceso WAN a la interfaz web de administración y SSH para mitigar accesos no autorizados.
  • Controlar usuarios no autorizados: Los equipos de seguridad deben revisar las cuentas de usuario presentes en los dispositivos Cyberoam para detectar signos de compromiso.

[Callforaction-THREAT-Footer]

In