trueNetLab logo
IT
Sophos Connect: perché gli admin non dovrebbero rincorrere blog post

Sophos Connect: perché gli admin non dovrebbero rincorrere blog post

11 min read
Network Sophos Security

Indice dei contenuti

Sophos Connect 2.5 MR1 per Windows è disponibile. A prima vista sembra una piccola release di manutenzione: qualche fix del client, un componente di terze parti aggiornato e download dal firewall o direttamente da Sophos.

Ma è proprio qui che inizia il problema.

Sophos Connect non è un piccolo strumento comodo per VPN occasionali. Il client gira sugli endpoint Windows, stabilisce VPN di accesso remoto e per molte organizzazioni è una via diretta verso la rete interna. Quando uno strumento di sicurezza del genere aggiorna una libreria crittografica importante, l’informazione non dovrebbe sembrare nascosta in un post della community.

Ancora più fastidioso: OpenSSL 3.3.7 è stato pubblicato il 7 aprile 2026. Sophos Connect 2.5 MR1 è arrivato il 18 giugno 2026. Sono circa dieci settimane. Per una normale app desktop potrebbe essere solo un update di manutenzione tardivo. Per un client VPN con una libreria crittografica, questo intervallo è molto meno piacevole.

L’utente deve davvero leggere i blog Sophos per capire che il client VPN va aggiornato? Ogni piccolo admin IT deve iscriversi al feed della community e sperare di vedere queste release in tempo? Per uno strumento che gestisce accesso remoto, certificati, autenticazione e cifratura, non basta.

Un client VPN è infrastruttura di sicurezza. Per questo un update importante del client non dovrebbe esistere solo come post di blog.

Cosa cambia Sophos Connect 2.5 MR1

Sophos ha annunciato Sophos Connect Client 2.5 MR1 per Windows il 18 giugno 2026. Secondo Sophos, è una release di manutenzione che corregge diversi problemi segnalati dalla community.

Il cambiamento tecnico principale è chiaro:

  • OpenSSL è stato aggiornato alla versione 3.3.7.

Sembra una frase piccola. Operativamente non lo è. Tra la release OpenSSL del 7 aprile e Sophos Connect del 18 giugno sono passati più di due mesi. Si può dire che Sophos debba verificare, integrare, testare e pacchettizzare la libreria. È giusto. Ma proprio per questo un client di sicurezza ha bisogno di trasparenza: gli admin non dovrebbero dover dedurre da un post che un componente client è rimasto per settimane in attesa di una security patch release.

Sophos cita inoltre diversi problemi risolti:

  • Il client non partiva automaticamente per utenti Windows aggiuntivi se installato da un altro utente.
  • Gli utenti SSO potevano vedere uno stato VPN errato dopo un’interruzione Internet.
  • Gli utenti con credenziali e OTP ricevevano richieste diverse in riconnessione a seconda dell’uso di IPsec o SSL VPN.
  • Gli utenti SSO non riuscivano a stabilire una connessione SSL VPN da un file di provisioning quando i certificati contenevano caratteri speciali.

Non sono dettagli cosmetici. Sono tipici temi di remote access: avvio, stato, SSO, OTP, provisioning e certificati. Esattamente i punti in cui helpdesk, admin e utenti perdono rapidamente visibilità se qualcosa non funziona bene.

Eppure OpenSSL 3.3.7 resta il punto che rende questa release particolarmente importante.

Perché OpenSSL 3.3.7 è rilevante

OpenSSL 3.3.7 è stato pubblicato il 7 aprile 2026 come security patch release. OpenSSL classifica il problema più grave risolto come Moderate. Non suona drammatico, ma non è nemmeno un normale bugfix.

OpenSSL 3.3.7 corregge tra l’altro:

  • CVE-2026-31790: gestione errata degli errori in RSA KEM RSASVE Encapsulation, che in certe condizioni potrebbe inviare contenuti di memoria non inizializzata a un peer malevolo.
  • CVE-2026-28387: un possibile use-after-free nel codice client DANE.
  • CVE-2026-28388: una possibile dereferenziazione NULL durante l’elaborazione di una delta CRL.
  • CVE-2026-28389 e CVE-2026-28390: possibili dereferenziazioni NULL durante l’elaborazione di certe strutture CMS EnvelopedData.
  • CVE-2026-31789: un heap buffer overflow durante conversione esadecimale su piattaforme a 32 bit.

Non tutte queste vulnerabilità sono automaticamente sfruttabili in Sophos Connect. È importante dirlo. Da una lista CVE di OpenSSL non si deve dedurre alla cieca che ogni client sia compromettibile in ogni scenario.

Ma anche il contrario sarebbe sbagliato: “Moderate” o “Low” non significa “irrilevante”.

OpenSSL è un componente di base. È coinvolto in TLS, verifica dei certificati, operazioni crittografiche e molti programmi che creano connessioni sicure. Se un client VPN include questa libreria, mantenerla fa parte del modello di sicurezza del client. Soprattutto su notebook che viaggiano, usano reti esterne e poi si collegano ad ambienti interni.

Perché SSL VPN resta rilevante

Un altro punto mi disturba da tempo in Sophos Connect: il client include OpenSSL per SSL VPN, indipendentemente dal fatto che il cliente usi davvero SSL VPN.

Molti ambienti oggi puntano più su IPsec. Ci sono buone ragioni: spesso migliori prestazioni, integrazione più chiara nei design VPN esistenti e soprattutto distribuzione più semplice tramite software deployment, RMM, Intune o altri strumenti di endpoint management. In azienda non si vuole che gli utenti scarichino manualmente installer VPN da un portale. Si vuole un pacchetto, una versione, una finestra di rollout e un inventario pulito.

Se un cliente usa Sophos Connect solo per IPsec, OpenSSL per SSL VPN resta comunque parte del client installato. Questo non significa automaticamente che ogni vulnerabilità OpenSSL sia sfruttabile in quell’ambiente. Ma significa che la libreria è presente, va mantenuta, compare negli inventari e negli scanner di vulnerabilità, e genera lavoro di patching.

Per questo la logica di aggiornamento è così importante. Se un prodotto installa componenti che non tutti i clienti usano attivamente, il produttore ha una responsabilità speciale nel mantenerli rapidamente e in modo visibile. Altrimenti nasce il classico problema enterprise: una funzione esiste tecnicamente, non viene usata operativamente, ma deve comunque essere patchata e spiegata.

Perché una release dedicata ha senso

Trovo corretto che Sophos rilasci una maintenance release per questo.

Un client VPN non è una qualsiasi app desktop. Fa parte del controllo degli accessi. Se usa librerie crittografiche obsolete, esiste un rischio operativo, anche quando l’exploitability concreta va valutata caso per caso.

Per i componenti di sicurezza contano tre cose:

  • Manutenzione dei componenti: le librerie di terze parti devono essere aggiornate tempestivamente.
  • Tracciabilità: gli admin devono poter vedere quale versione è distribuita.
  • Distribuzione: la patch deve arrivare in modo affidabile agli endpoint.

Il primo punto qui è soddisfatto: Sophos aggiorna OpenSSL. Il secondo lo è almeno in parte: release notes e blog indicano la versione. Il terzo è il punto interessante.

Sophos scrive che l’installer attuale viene distribuito ai firewall SFOS tramite pacchetto Up2Date e poi può essere scaricato da WebAdmin o dal portale VPN. È utile, perché il firewall diventa un riferimento locale per l’installer.

Ma non è la stessa cosa di un processo di auto-update pulito e visibile su ogni endpoint Windows.

Se un utente ha installato il client una volta e poi non lo aggiorna mai attivamente, la disponibilità dell’installer sul firewall è solo metà strada. Qualcuno deve comunque avviare, monitorare e completare il rollout.

La vera critica: visibilità

La mia critica quindi non è rivolta tanto alla release. La release è sensata.

È rivolta alla visibilità e alle aspettative.

Uno strumento di sicurezza moderno dovrebbe offrire almeno una di queste opzioni:

  • una chiara notifica di update nel client,
  • una vista centrale in Sophos Central o sul firewall che mostri le versioni client obsolete,
  • un meccanismo ufficiale e ben documentato di auto-update,
  • oppure almeno un avviso admin quando una versione client rilevante per la sicurezza è vecchia.

Vorrei soprattutto un meccanismo opzionale e controllabile di auto-update per Sophos Connect. Non nascosto, non incontrollato, non contro le policy aziendali. Ma tale da permettere a un admin di decidere che gli update client rilevanti per la sicurezza possano essere distribuiti automaticamente o semi-automaticamente a gruppi definiti.

Alcuni ambienti usano già GPO, RMM, Intune o distribuzione software. Certo. I bravi admin lo risolvono. Ma il punto di prodotto resta: per client di accesso remoto, la comunicazione degli update non dovrebbe essere lasciata al caso.

Sophos sa quanto sia importante automatizzare gli update. I firewall hanno pattern updates, hotfix, avvisi firmware e visibilità in Central. Dai prodotti endpoint ci si aspetta comunque l’aggiornamento automatico. Perché proprio il client VPN sembra ancora così manuale?

Non è un problema di lusso. È esattamente il tipo di punto in cui piccole lacune restano a lungo.

Cosa dovrebbero fare ora gli admin

La conseguenza pratica è chiara.

Primo: verificate se il vostro Sophos Firewall ha già ricevuto il nuovo installer Sophos Connect. Sophos scrive che l’installer arriva ai firewall SFOS via Up2Date e poi è disponibile in WebAdmin o nel portale VPN.

Secondo: verificate le versioni Sophos Connect installate sui client Windows. Se non avete inventario centrale, questo è il vero problema. Serve almeno una vista tramite RMM, Intune, GPO, endpoint management o script.

Terzo: non testate il nuovo client solo con un utente standard. Testate gli scenari reali:

  • SSL VPN con username, password e MFA
  • IPsec con OTP, se usato
  • Microsoft Entra ID SSO
  • file di provisioning
  • certificati con caratteri speciali nel nome o nei campi rilevanti
  • riconnessione dopo interruzione Internet
  • più utenti Windows sullo stesso dispositivo, se accade nel vostro ambiente

Se usate esclusivamente IPsec, non ignorerei comunque l’update. Verificate soprattutto che il client parta correttamente nell’uso quotidiano, che i profili siano distribuiti come previsto e che l’inventario riconosca la nuova versione. OpenSSL forse non è il percorso VPN attivamente usato, ma la libreria resta parte del client installato.

Quarto: distribuite l’update in modo pianificato. Non nel panico, ma neanche “prima o poi”. OpenSSL 3.3.7 è una security patch release. Un client VPN con OpenSSL non è un candidato per “lo facciamo al prossimo cambio notebook”.

Quinto: comunicate in modo chiaro. Gli utenti non devono sapere cosa siano RSASVE, DANE o CMS KeyAgreeRecipientInfo. Devono sapere che il client VPN viene aggiornato, che dopo vanno testate le connessioni e dove segnalare problemi con SSO, OTP o provisioning.

Cosa dovrebbe migliorare Sophos

Vorrei tre cose in Sophos Connect.

Primo: una chiara informazione di update nel client. Se è disponibile una versione rilevante per la sicurezza, l’utente o almeno l’admin locale dovrebbe vederlo. Meglio ancora: un percorso di auto-update controllabile per gli ambienti che lo consentono consapevolmente.

Secondo: una vista admin centrale. Sophos Central o il firewall dovrebbero mostrare quali versioni Sophos Connect sono note in un ambiente e quali sono obsolete. Se il client non è gestito centralmente, servirebbe almeno una raccomandazione chiara su inventario e rollout.

Terzo: comunicazione migliore delle release. Un post della community va bene come annuncio. Ma per componenti client rilevanti per la sicurezza, “leggere il blog e scaricare l’installer” non è un modello operativo, soprattutto se la versione OpenSSL sottostante è disponibile da aprile.

Non voglio parlare male di Sophos. Anzi: aggiornare OpenSSL è positivo. Citare la versione nelle release notes è positivo. Distribuire l’installer tramite firewall è pratico.

Ma nel 2026 un vendor di sicurezza dovrebbe fare di più per i client di remote access.

La mia conclusione

Sophos Connect 2.5 MR1 non è una release glamour. Proprio per questo è interessante.

Mostra com’è davvero l’operatività security: non solo grandi feature, ma manutenzione di componenti, piccoli fix del client, dettagli di certificati, comportamento SSO, riconnessioni OTP e la domanda se un update arrivi davvero su ogni endpoint.

OpenSSL 3.3.7 è una security patch release. Sophos fa bene a integrarla in Sophos Connect. Gli admin fanno bene a non ignorare l’update. Ma il periodo da aprile a giugno è abbastanza lungo da chiedere più velocità e visibilità.

Resta anche il punto architetturale: Sophos Connect installa componenti SSL VPN con OpenSSL anche quando un ambiente usa principalmente o esclusivamente IPsec. Può avere senso tecnico perché Sophos offre un client combinato. Operativamente significa però responsabilità aggiuntiva. Ciò che viene installato deve anche essere aggiornato in modo affidabile.

Sophos dovrebbe quindi accettare la domanda scomoda: perché un admin deve seguire attivamente un post di blog per accorgersi di un update del client VPN?

Per uno strumento di sicurezza che protegge l’accesso alla rete interna, non è abbastanza.

Alla prossima,
Joe

FAQ

Cosa c'è di nuovo in Sophos Connect 2.5 MR1 per Windows?
Sophos Connect 2.5 MR1 aggiorna OpenSSL alla versione 3.3.7 e corregge problemi segnalati su auto-start, stato SSO, riconnessione OTP e provisioning SSL VPN con certificati.
Perché OpenSSL 3.3.7 è importante?
OpenSSL 3.3.7 è una security patch release del 7 aprile 2026. Corregge diverse vulnerabilità, inclusa una vulnerabilità moderata in RSA KEM RSASVE Encapsulation e problemi minori in DANE, CRL e CMS. Sophos Connect 2.5 MR1 è arrivato il 18 giugno 2026, circa dieci settimane dopo.
Gli utenti devono aggiornare Sophos Connect da soli?
Dipende dal modello operativo. Sophos fornisce l’installer tramite firewall o download diretto. Negli ambienti gestiti, gli admin dovrebbero distribuire l’update centralmente e non contare su utenti che leggono blog o agiscono manualmente.
OpenSSL è rilevante se usiamo solo IPsec?
Sì, almeno operativamente. Se Sophos Connect installa OpenSSL per SSL VPN, la libreria è parte del client installato anche se l’ambiente usa soprattutto IPsec. Non significa automaticamente exploitability pratica, ma significa patching, inventario e spiegazione.
Fonti

Articoli correlati

Sophos vs WatchGuard: confronto firewall 2026

Sophos vs WatchGuard: confronto firewall 2026

Sophos vs Cisco Meraki: confronto firewall

Sophos vs Cisco Meraki: confronto firewall

Sophos vs Check Point 2026: confronto firewall dalla pratica

Sophos vs Check Point 2026: confronto firewall dalla pratica

Cerca