Faille critique sur les pare-feux Sophos !

  • à 11:17
faille sophos
Une action rapide doit être menée pour résoudre cette faille critique !

Une faille critique a été révélée concernant notamment les boîtiers UTM et les solutions de type « clients/serveur ». Elle concerne tous les pare-feux qui utilisent un OS en version 18.5.3 ou antérieure. Un score de criticité de 9,8 sur 10 lui a été attribuée.

Quelle est cette faille ?

Cette vulnérabilité est associée à la référence CVE-2022-1040. Elle permet de contourner les procédures d’authentification sur le portail utilisateur mais aussi, et surtout, sur le portail d’administration.

Pour rappel, un firewall est un outil permettant d’appliquer, sur votre réseau, une politique de sécurité visant à définir quels sont les types de communications autorisés sur ce réseau. Sa fonction est de surveiller et de contrôler les applications et les flux de données. Il permet de définir le « niveau de confiance » que vous accordez à un expéditeur de données. Ainsi, la possibilité d’accéder au portail d’administration de votre pare-feu signifie pouvoir modifier les critères mis en place pour assurer la sécurité de votre système.

Comment réagir face à cette vulnérabilité ?

L’éditeur de ces solutions a déployé une liste de correctifs selon les versions utilisées. Ainsi, la procédure à suivre sera différente selon que vous disposiez :

  • D’une version sous support
  • D’une version en fin de vie
  • De la version 18.5 MR3
  • D’une version postérieure à la précédente

Pour les utilisateurs ayant déployé les mises à jour automatiques de la solution, il y a peu de chances pour que cette faille de sécurité vous concerne. Toutefois, pensez à vérifier que l’installation des différentes mises à jour a bien été effectuée. Une procédure est en ligne à cet effet. Nous vous conseillons de réaliser une analyse des logs et journaux de transactions de votre pare-feu. Nous vous invitons également à contacter d’urgence votre prestataire informatique lorsque vous ne disposez pas des compétences nécessaires en interne pour traiter cette vulnérabilité.

Enfin, si vous ne disposez ni de compétence en interne, ni de prestataire informatique, nous vous invitons à nous contacter afin que vous puissiez être accompagné dans cette démarche.

Demander un accompagnement

myDigitplace

Informations légales

Nos engagements

Recrutement

Rejoignez l’équipe dès maintenant en envoyant votre candidature ici.

Newsletter

Champs obligatoires *

Tester son établissement : Les consentement légaux

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à l’évaluation de la conformité de votre entreprise ainsi qu’à l’envoi des résultats obtenus à ce test. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue lla fourniture d’un service gratuit d’évaluation de votre niveau de conformité

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à l’envoi des résultats à ce test.

Elles sont ensuite conservées pendant 3 ans afin de vous proposer des solutions de mise en conformité adaptées aux besoins identifiés. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.


Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.

 En cochant cette case j’affirme avoir lu et accepté votre politique de confidentialité.

Inscription à la newsletters : les mentions d’informations RGPD

Ce formulaire s’adresse uniquement aux entreprises et entre dans le cadre d’une relation B2B. Les informations recueillies à partir de ce formulaire sont nécessaires à la fourniture d’un service de Newsletter. Ces données sont destinées à un usage exclusivement interne.

La base juridique de ce traitement est un fondement contractuel que constitue la fourniture d’un service gratuit d’envoi d’informations spécialisées sur le RGPD et la cybersécurité.

Vos données ne sont ni vendues, ni échangées, ni transférées en dehors de l’Union Européenne.
Vos données sont conservées en base active jusqu’à votre désabonnement de notre Newsletter.

Elles sont également conservées pendant 3 ans afin que nous puissions vous communiquer nos offres commerciales. Ce traitement repose sur notre intérêt légitime. Le cas échéant, vous aurez la possibilité de vous opposer à ce traitement en vous opposant à ce que vos informations de contact soient conservées dans notre liste de diffusion.

Notre prestataire d’e-mailing nous communique des statistiques d’ouverture des courriers électroniques. Ces informations peuvent être traitées par nos services afin d’améliorer la sécurité de nos services.

Conformément à la Loi Informatique et Liberté de n°78-17 du 6 janvier 1978 modifiée, au Règlement (UE) 2016/679 et à la Loi pour une République numérique du 7 octobre 2016, vous disposez du droit d’accès, de rectification, de limitation, d’opposition, de suppression, du droit à la portabilité de vos données et de transmettre des directives sur leur sort en cas de décès.

Vous pouvez exercer ces droits en adressant un mail à dpo@mydigitplace.com.

Vous avez la possibilité de former une réclamation auprès de la CNIL à l’adresse : www.cnil.fr.