شناسایی و رفع آسیب پذیری CVE2022-3236 در Sophos Firewall

طبق اعلام شرکت سوفوس در تاریخ یکم مهرماه سال ۱۴۰۱، آسیب پذیری جدیدی در بخش های User Portal و Web Admin تجهیزات Sophos Firewall یافت شده است که به مهاجمان اجازه می دهد با استفاده از حملات اجرای کد از راه دور (Remote Code Execution)، دسترسی غیر مجاز به فایروال داشته باشد. لازم به ذکر است، در حال حاضر این آسیب پذیری شناسایی و رفع شده است.

طبق اطلاعیه شرکت سوفوس، کاربران این فایروال در صورت رعایت پیش فرض های امنیتی، نیازی به انجام تغییرات در فایروال ندارند و این آسیب پذیری به صورت خودکار با دریافت Hotfix در فرمویر های پشتیبانی شده رفع شده است.

همچنین با توجه به خطرات این آسیب پذیری، شرکت سوفوس Hotfix های امنیتی را برای تعدادی از فرمویر هایی که به صورت رسمی پشتیبانی نمی شوند هم ارائه کرده است. لیست زیر شامل تمام فرمویر هایی می باشد که Hotfix برای آن ها ارائه شده است.

v19.0 GA, MR1, and MR1-1 –

v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4 –

v18.0 MR3, MR4, MR5, and MR6 –

v17.5 MR12, MR13, MR14, MR15, MR16, and MR17 –

v17.0 MR10 –

 

در همین راستا، شرکت iCTN به مشتریان خود پیشنهاد می کند تا با بررسی موارد ذیل، از دریافت خودکار Hotfix های امنیتی بر روی دستگاه های خود اطمینان حاصل نمایند:

۱.بروز رسانی فرمویر فایروال به آخرین نسخه های پشتیبانی شده توسط شرکت سوفوس به صورت رسمی: در حال حاضر نسخه های ۱۸.۵.۳ و بالاتر پشتیبانی می شوند و پیشنهاد می شود تمامی تجهیزات با فرمویر های نسخه های پایین تر به نسخه های پشتیبانی شده بروز رسانی شوند.

۲.حصول اطمینان از دریافت بروز رسانی ها از طریق سرور شرکت iCTN: از مسیر  Administration > SFM و یا Administration > Central Management اطمینان حاصل نمایید که تنظیمات مطابق تصویر زیر به شکل صحیح اعمال شده است.

۳. حصول اطمینان از دریافت Hotfix ها به صورت خودکار: از مسیر Administration > Firmware اطمینان حاصل نمایید که گزینه دریافت خودکار Hotfix ها فعال می باشد.

 

۴. حصول اطمینان از دریافت Hotfix مربوط به این آسیب پذیری: پس از اتصال به CLI دستگاه از طریق SSH، وارد گزینه ۴ شوید و با وارد کردن دستور ذیل، نسخه Hotfix را بررسی نمایید. نسخه Hotfix می بایست HF092122.1 یا بالاتر باشد.

 

لازم به ذکر است تمامی تنظیمات فوق توسط کارشناسان شرکت iCTN به هنگام نصب و راه اندازی محصول انجام شده است و اکیدا توصیه می شود تغییری در آن ها صورت نگیرد.

برای دریافت اطلاعات بیشتر به لینک های زیر مراجعه نمایید و یا از طریقه سامانه پشتیبانی (https://support.ictn.ir ) تیکت ثبت نمایید و یا با کارشناسان فنی شرکت iCTN از طریق شماره تلفن ۲۲۱۳۹۲۳۰-۰۲۱ در ارتباط باشید.

https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce

https://support.sophos.com/support/s/article/KB-000044539?language=en_US

https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Administration/DeviceAccess/index.html

https://support.sophos.com/support/s/article/KB-000044539?language=en_US

Advisory: Sophos Firewall – Appliance goes into failsafe mode when firmware upgrades to 19.0 GA with the reason “Unable to start logging daemon”

Status: On-going 

Overview

If your device is using a configuration previously restored from a Cyberoam backup, and you have NOT regenerated the appliance certificate on SFOS, upgrading to SFOS v19 will result in operation in fail safe mode.

Appliance goes into the failsafe mode with the reason “Unable to start logging daemon” when firmware upgrade to SFOS v19.0 GA. Garner service will go in a dead state.

Product and Environment

Sophos Firewall: upgrading to v19.0 GA

Impact

The appliance goes into failsafe mode after upgrading to SOFS v19.0 GA if the device had the “Appliance certificate” generated with “md5WithRSAEncryption”. The appliance certificate generated in Cyberoam devices uses a weak signature algorithm (MD5) that is NOT supported for appliance certificates in SFOS v19.

Symptom

  1. The appliance goes into the failsafe mode with the reason “Unable to start logging daemon
    To find out the root cause of the failsafe mode, do as follow:
  • Access Sophos Firewall via SSH or console cable.
  • Select Device Console and press Enter.
  • Run the command “show failure-reason” and press Enter.
    If affected, you should see the following message:
    failsafe> show failure-reason
    Unable to start Logging Daemon.
  1. Garner service becomes dead.
    To check garner service status, run the command “#service -S | grep garner”
    If affected, you should see the following message:
    garner DEAD
  2. The following error is shown in garner.log:
    ERROR May 24 12:01:34Z [4152300608]: SSL_ERR: Error loading certificate to OpenSSL

If all three symptoms are matching then appliance is affected with this issue.

How can I identify whether appliance is affected with this issue before upgrading to v19.0 GA?

Check the Signature Algorithm of the Appliance certificate by running the following command on the advanced shell:

      openssl x509 -in /conf/certificate/ApplianceCertificate.pem -text -noout

If the output shows the signature algorithm as “md5WithRSAEncryption“, DO NOT upgrade to v19 before regenerating the appliance certificate.

Resolution

Please check two feasible workarounds for this issue.

Rollback to the previous version

In Sophos Firewall, go to Backup & firmware > Firmware. You can see the previous version under Firmware. If you want to roll back, click the button for Boot firmware image for the previous version.

Verify the Signature Algorithm of the Appliance certificate

Note: Regenerating the appliance certificate will have some impact. Make sure to read the section Impact of the regenerating appliance certificate“.

On 18.5.MR3 or previous versions, verify the Signature Algorithm of the Appliance certificate by running the following command on the advanced shell:
openssl x509 -in /conf/certificate/ApplianceCertificate.pem -text -noout

If the output shows the signature algorithm as “md5WithRSAEncryption“, DO NOT upgrade to v19 before regenerating the appliance certificate.

To regenerate the appliance certificate from the UI,

  1. Go to SYSTEM > Certificates > ApplianceCertificate.
  2. Click Apply on the “Regenerate certificate manage” section.

Already affected by the issue?

If you are already affected by this issue (running 19.0.x in Failsafe mode), do as follow:

  1. Rollback to 18.5.MR3
  2. Regenerate Appliance certificate from the UI
  3. Run “openssl x509 -in /conf/certificate/ApplianceCertificate.pem -text -noout”
    The output should show “Signature Algorithm: sha256WithRSAEncryption”
  4. Migrate to SFOS v19.0.x by downloading the latest firmware (do not do firmware switchover to 19.0.x)

Impact of the regenerating appliance certificate

The regenerated appliance certificate must be replaced for the features dependent on the appliance certificate:

  1. SSLVPN remote access: Regenerating the appliance certificate results in remote users being unable to connect via VPN to the Sophos Firewall.  Have the remote VPN user(s) re-download their client configuration package from the user portal to fix the issue.
  2. SSLVPN site-to-site server-side SFOS: Regenerating the appliance certificate results in a connection failure of the SSLVPN client. Download the SSLVPN server configuration and import it again on the SSLVPN S2S client-side firewall.

راهکار مقابله با آسیب‌پذیری Log4J از طریق قابلیت IPS

به گزارش مرکز ماهر, اخیراً یک ‫آسیب ‌پذیری روز صفر (Zero Day) بحرانی در کتابخانه Log4j مربوط به Apache یافت شده است و از آن‌جایی که این کتابخانه کاربرد بسیاری دارد، آسیب‌پذیری مذکور بخش بزرگی از اینترنت را تحت تاثیر خود قرار می‌دهد. در واقع با توجه به اینکه این کتابخانه با زبان جاوا پیاده‌سازی شده است، تقریباً هر سروری که از زبان جاوا استفاده می‌کند (نسخه‌های ۲.۱۴.۱ و پیش از آن کتابخانه Log4j و نسخه‌های جاوای پیش از ۶u212، ۷u202، ۸u192 و ۱۱.۰.۲)، آسیب‌پذیر است. در برخی موارد برنامه به‌طور مستقیم از کتابخانه Log4j2 استفاده نمی‌کند اما ممکن است برخی زیرساخت‌های آن اعم از سرور برنامه، سرور پایگاه داده یا دستگاه های شبکه از این کتابخانه استفاده کنند که کاربر را در معرض خطر این آسیب‌پذیری قرار می‌دهد, لذا به کاربران توصیه می‌شود هرچه سریع‌تر نسبت به بروزرسانی سرور‌های آسیب‌پذیر اقدام کنند. ( به‌روزرسانی به نسخه rc2- 2.15.0 و جاوا نسخه ۸u121 )

این آسیب‌پذیری با شناسه CVE-2021-44228 شناخته شده و دارای شدت بحرانی ۱۰ از ۱۰ است. این آسیب‌پذیری از راه دور و بدون احراز هویت قابل بهره‌ برداری است و مهاجم با بهره‌‌برداری موفق از این آسیب‌‌پذیری قادر است کد دلخواه خود را در سرور‌های آسیب‌پذیر اجرا نماید. آسیب‌پذیری CVE-2021-44228 در حال حاضر تحت بهره‌‌برداری فعال قرار دارد.

همانگونه که اشاره شد، راه حل رفع مشکل بروزرسانی نرم‌افزار‌های آسیب پذیر می‌باشد. برای سازمان‌هایی که فعلا امکان بروز‌رسانی نرم‌افزار‌های آسیب پذیر را ندارند، پیشنهاد می‌شود، با انجام تنظیمات مناسب در IPS در تجهیرات امنیتی خود، ریسک سوء استفاده از این آسیب‌پذیری را کاهش دهند.

چگونگی اطلاع از بروز بودن IPS در تجهیزات Sophos 

• ابتدا از بروز بودن الگوهایIPS (واقع در Pattern Update) دستگاه خود اطمینان حاصل کنید. (حداقل تاریخ آپدیت باید تاریخ ۱۴ December 2021 باشد)‌.
آسیب‌پذیری Log4J
• سرویس IPS در دستگاه شما باید در حالت Running باشد.
آسیب‌پذیری Log4J
• دقت داشته باشید که در قسمت IPS Policy برای سرور‌های پابلیش شده خود (برای مثال WAN To DMZ ) گروه‌های مشخص شده در تصویر وجود داشته باشد.
آسیب‌پذیری Log4J
• اگر از Custom IPS Policy استفاده می کنید, باید Signature های زیر در آن ها موجود باشد.
SIDs are 2306426, 2306427, 2306428, 58722, 58723, 58724, 58725, 58726, 58727, 58728, 58729, 58730, 58731, 58732, 58733, 58734, 58735, 58736, 58737, 58738, 58739, 58740, 58741, 58742, 58743, 58744, 58751

• و در آخر بر روی رول‌های (رول هایی که دسترسی سرویس های پابلیش شما را بررسی می‌کنند برای مثال WAN To LAN ) فایروال خود Other security features > Detect and prevent exploits (IPS) پالیسی مورد نظر را انتخاب کنید.

آسیب‌پذیری Log4J

چگونگی اطلاع از بروز بودن IPS در تجهیزات Fortigate

• در قسمت System > FortiGuard > Intrusion Prevention نسبت به آپدیت دیتابیس (حداقل ورژن IPS DB: 19.217 ) اقدام کنید.
• بر روی رول‌های فایروال خود که به بررسی سرویس‌های پالیش شما در شبکه نظارت دارد ( برای مثال اینترفیس های WAN به DMZ), IPS Policy مورد نظر خود را انتخاب کنید.

 

آسیب‌پذیری Log4J

منبع

سینولوژی : بهترین NAS در سال ۲۰۲۱

سینولوژی : بهترین NAS در سال ۲۰۲۱

دیوید گویرتز ، مدرس برجسته CBS Interactive علاوه بر میزبانی از وبلاگ های ZDNet Government و ZDNet DIY-IT ، نویسنده و مشاور سیاستگذاری ایالات متحده و دانشمند رایانه است. وی در ویژه نامه The History Channel The President of Books of Secrements ، یکی از برجسته ترین متخصصان امنیت سایبری آمریکا است و در زمینه صرفه جویی و ایجاد شغل بسیار خبره است. وی همچنین مدیر موسسه چشم انداز استراتژیک ایالات متحده و همچنین بنیانگذار انتشارات ZATZ است. دیوید عضو FBI InfraGard است و همچنین مشاور جنگ سایبری برای انجمن بین المللی ضد تروریسم و متخصصان امنیت ، ستون نویس مجله مبارزه با تروریسم و امنیت داخلی ، و یک همکار منظم CNN بوده و یک مفسر مهمان برای دیده بان Nieman از بنیاد روزنامه نگاری Nieman در دانشگاه هاروارد. او نویسنده کتاب “کجا همه نامه های الکترونیکی رفته است؟” ، مطالعه نهایی ایمیل در کاخ سفید ، و همچنین کتاب How How Save Jobs و The Flexible Enterpris ، کتاب کلاسیک که به عنوان پایه و اساس جنبش چابک امروز فعالیت می کند ، است.

آقای دیوید گویرتز پس از یک بررسی طولانی مدت ، تجهیزات سینولوژی را به عنوان بهترین انتخاب در NAS دانسته است که معیار ها و دلایل خود را شرح داده است .در این بررسی دو دستگاه DS920+ و DS220+ به عنوان بهترین انتخاب ها برای  یک کاربر خانگی و اداری کوچک معرفی شده است .این انتخاب با توجه به راحتی محیط کاربری آن، قابلیت های بسیار زیاد ، امنیت بالا و قیمتی بسیار مناسب انتخاب شده است که در ادامه بیشتر توضیح داده می شود.

اگر سرورهای مبتنی بر ابر همه نیازهای ذخیره سازی شما را برآورده نمی کنند ، می توان به عنوان یک راه حل NAS را در نظر بگیرید. ما تعدادی دستگاه را انتخاب کردیم که تستهای سخت قابلیت اطمینان ما را پشت سر گذاشته است و قابلیت استفاده و مجموعه ویژگی های برتر را دارا می باشد.

اگر در یک شرکت بزرگ کار می کنید ، بدون شک به یک File Server سازمانی دسترسی دارید. اما اگر برای یک تجارت کوچک کار می کنید یا از خانه کار می کنید ، احتمالاً File Server شما در فضای ابری قرار دارد ، احتمالاً چیزی است که توسط Dropbox ، AWS ، Google یا Microsoft ارائه شده است. سرورهای مبتنی بر ابر خوب هستند ، اما برای افراد تمام وقت در خانه سرورهای ابری همیشه مفید نخواهند بود.

سرورهای مبتنی بر ابر برای ویرایش ویدئو وحشتناک هستند ، زیرا دانلود ویدئو در فضای ابری بسیار زمان گیر می باشد. اگر با ویدیو و یا سایر فایل های حجیم سر و کار دارید، بعید به نظر می رسد که فضای ذخیره سازی ابری به جز برای پشتیبان گیری عملی باشد. سرورهای ابری می توانند به نوعی گران تمام شوند. مطمئناً ، اگر مجهز به NAS هستید ، هزینه درایوها را پرداخت می کنید ، و پس از پرداخت هزینه NAS و درایوها ، تقریبا کار تمام می شود و دیگر لازم نیست ماه به ماه برای آن هزینه کنید.

اشتباه نشود، چرا که من ذخیره ابری را به عنوان یک اصل در استراتژی پشتیبان گیری ۳-۲-۱ توصیه می کنم ، اما برای استفاده در منازل و خانه های کوچک ، NAS می تواند بسیار ارزشمند باشد. هم سریع است ، دسترسی به آن آسان است ، می توانید اشتراک اعضای خانواده یا گروه های کاری را تقسیم بندی کنید ، و بسیاری از NAS ها طیف گسترده ای از برنامه های اضافی را ارائه می دهند که دستگاه  شما را به یک سرور تجاری محلی برای اهداف عمومی محلی یا خصوصی تبدیل می کنند .

ویژگی برجسته هر  NAS با برند سینولوژی ، نرم افزار استثنایی DiskStation Manager (DSM) این شرکت است. در حالی که سخت افزار Synology با بسیاری دیگر از پیشنهادات NAS هم تراز است ، هنگامی که این سخت افزار با نرم افزار DSM ترکیب می شود در این لحظه سینولوژی بسیار برتر می گردد و با رقبا قابل قیاس نمی باشد.

این نرم افزار بسیار ساده و قابل فهم می باشد که کار کردن با آن را بسیار ساده می نماید. این شرکت همچنین دارای قابلیت RAID با عملکرد بالاتر است. در اینجا ، در کمپ دیوید ، من در واقع هر سه سرور اصلی خود را با استفاده از DSM اجرا می کنم ، و در همین چند بار که دیسک من خراب شده است ، بدون کوچکترین نگرانی و استرس مجددا به شرایط عادی برگشته ام.

پس از گذشت ۶ ماه از آزمایش NAS از هفت مارک مختلف ، پیشنهاد Synology بدون تردید در اولویت من بوده است. ما در اینجا یک دستگاه ۴Bay مورد بررسی قرار دادیم ، اما بدلیل استفاده از یک DSM مشترک در تمامی مدل ها شما می توانید به دستگاه های بزرگتر نیز به سادگی اطمینان نمایید. من هر دو دستگاه چهار و هشت Bay را بررسی نمودم و ازهمه آنها بسیار راضی بوده ام. ادامه مطلب

نوزدهین سالگرد تاسیس شرکت iCTN

Happy 19th Anniversary

پس از نوزده سال سابقه ی درخشان در حوزه ی فناوری اطلاعات ، ۱۹ سالگی خود را جشن می گیریم

UNITY-برگزاری دوره ی آموزشی تخصصی یونیتی

دوره ی تخصصی یونیتی مهر ماه ۱۳۹۹ در شرکت ICTN ، با حفظ رعایت پروتکل های بهداشتی برگزار گردید .

جهت حضور و ثبت نام در دوره های تخصصی شرکت ICTN ، در فرم  آموزش ثبت نام نمایید و یا با واحد آموزش در ارتباط باشید .

ارتباط با واحد آموزش : ۰۲۱۲۲۱۳۹۲۳۰ داخلی ۱۶۰ و ۱۱۳

 

برگزاری وبینار تخصصی بررسی اجمالی فنی XtremIO X2

وبینار تخصصی بررسی اجمالی فنی XtremIO X2  روز دوشنبه با حضور مدیران فناوری اطلاعات شرکت های پرداختی توسط شرکت ICTN برگزار گردید .

ویدئو وبینار در وبسایت در بخش ثبت نام در وبینار  و  همچنین در کانال آپارات شرکت ICTN  قابل مشاهده می باشد .

امیدواریم در وبینارهای بعدی حضور به هم رسانیم .

برگزاری وبینار آنلاین سینولوژی

همراهان گرامی به اطلاع می رساند ، شرکت سینولوژی کارگاه های آموزشی به صورت آنلاین برگزار می نماید. از علاقه مندان دعوت می گردد جهت ثبت نام از طریق لینک ذیل اقدام فرمایند . لینک ثبت نام : https://lnkd.in/dRYbvq9 ‏Intro to Synology Solid-State Drives ‏Learn more about Synology’s new drive lineup, including ۲.۵” SATA SSD SAT5200 and […]