Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 12 replies
  • Subscribers 3 subscribers
  • Views 4784 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Heartbleed: Can SOPHOS be trusted anymore?

hoffmannc
We cannot quantify the amount headache caused by openssl vuln. The main question popped by my senior management is " Can we trust Sophos? ".

Frankly, I have no answer. The UTMs were a recent deployment in our network - we moved away from a major competitor to you. There were many stability issues but we persevered at times justifying the cost savings. But with this bug and delays from Sophos, the question falls flat on us. 

What do you think?


This thread was automatically locked due to age.
  • 0 in reply to stealthmatt_01
    I also think that's its an overkill to regenerate every certificate for the UTM (and also a pain in the butt), as it wasn't a certificate issue but the way in which the protocol was handling the connection to the client. So all we have done was apply the patch and changed high level admin passwords on the UTM.

    The reason certificates had to be regenerated was because the vulnerability potentially allowed an attacker to steal your existing certs, thereby allowing them to pretend to be you. Because the cert is valid, there's no way the victim could tell they weren't talking to you, especially if the cert used a DNS name.

    If you used PSK and a password for VPN tunnels (S2S & roadwarrior) you are okay but any tunnel using certs for authentication was potentially compromised. A remote endpoint presents a stolen cert and they could potentially link up to you.

    Someone using your existing certs could pretend to be your user portal. User enters their credentials into the fake user portal and the attacker now has passwords into part of your system.

    The list goes on.
  • 0
    Why did you trust Sophos before?
    Why do you question that trust now?
    What expectations were not met?
    Did these expectations specifically exist before the event(s)?

    Certainly every event (or even regular day) offers learning and improvement opportunities.

    Hopefully I've not mis-read/remembered anything:

    (Other threads have mentioned bug/security/patch communication/notification so I'll skip it)

    The latest 9.1 fully released at the time of the public heartbleed announcement was 9.109(?).  9.110(-002?) was "in the oven".   Somewhere along the line 9.111002 and 9.111007 came out and it appears only 9.111007 had the updated heartbleed packages.  UTM 9.110 and 9.111 (Heartbleed Fix) Released  There were some issues:UTM 9.111: Update issues on HA/Cluster systems

    The latest 9.2 available at the time of the public heartbleed announcement was 9.200.  The update from 9.200 to 9.201 was released a day(?) after the heartbleed update for the 9.1 series.   This update was substantial (~115M) update including much more than just heartbleed related updates.  (I didn't follow it closely as I only use 9.2 for beta/bug-testing.)

    A great number of the processes and commands supplied by Sophos can/could be scripted.  The only scripts readily, and only recently(?), available are for reconfiguring REDs?  See Sophos KB 120916

    The knowledgebase articles have received updates and changes but the changes aren't readily apparent.

    Possible improvements include:
    More granular updates when a security patch is required - possibly with the side effect of quicker security patch release cycles.
    Testing & QA improvements.
    Provide more scripts to ease (and hopefully reduce variability in) changes.
    Public version control/changelog for knowledgebase.
    The ability to subscribe to knowledgebase articles for update/change notification.