Af Eskil Sørensen, 28/03/22
Sophos har rettet en kritisk sårbarhed i sin Sophos Firewall, der muliggøre fjernafvikling af kode (RCE). Det skriver Security Affairs.
Fejlen vedrører omgåelse af autentificering, og den findes i brugerportalen og webadmin-områderne i Sophos Firewall. Fejlen har id’et CVE-2022-1040 er alvorlig med en CVSS-score på 9,8. Den påvirker Sophos Firewall-versioner 18.5 MR3 (18.5.3) og tidligere.
Sophos skriver i en meddelelse ifm. fundet af sårbarheden, at der automatisk vil blive installeret hotfixes på dens enheder som standard. Sophos anbefaler også kunder at undgå at udsætte deres brugerportal og webadmin for WAN, hvilket kan ske ved deaktivering af WAN-adgang til brugerportalen og webadmin. I stedes anbefales brug af VPN og/eller Sophos Central til fjernadgang og -administration. Sophos tilføjer, at brugere af ældre versioner af firewall’en skal opgradere for at kunne modtage den nævnte rettelse.
Sårbarheden blev rapporteret til Sophos af en sikkerhedsresearcher via virksomhedens bug bounty-program.
Bleeping Computer skriver i sin omtale af sagen, at der tidligere har været angreb mod sårbare Sophos Firewall.
Links:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
https://securityaffairs.co/wordpress/129536/security/sophos-firewall-authentication-bypass-flaw.html