Af Eskil Sørensen, 26/09/22
Sophos har udgivet en opdatering til deres firewall-produkt, efter at angribere har udnyttet en ny kritisk 0-dages sårbarhed til at angribe kundernes netværk. Det skriver The Hacker News m.fl.
Sårbarheden har id’et CVE-2022-3236 og CVSS-score på 9,8. Den påvirker Sophos Firewall v19.0 MR1 (19.0.1) og ældre og vedrører en sårbarhed med codeinjection i brugerportalen og webadmin-komponenterne. Sårbarhden kan medføre remote code execution, dvs. fjernafvikling af kode.
Sophos oplyser ifm. opdateringen, at sårbarheden bliver brugt til angreb mod et ’lille sæt specifikke organisationer, primært i Sydasien-regionen’. Sophos har underrettet virksomhederne direkte. Men andre med samme version af Firewall’en er stadig sårbare uden en opdatering eller håndtering af den på anden måde.
Således anbefaler Sophos, at brugere tager skridt til at sikre, at brugerportalen og webadmin ikke udsættes for WAN. Alternativt kan brugere opdatere til den seneste understøttede version, som er følgende:
- v19.5 GA
- v19.0 MR2 (19.0.2)
- v19.0 GA, MR1 og MR1-1
- v18.5 MR5 (18.5.5)
- v18.5 GA, MR1, MR1-1, MR2, MR3 og MR4
- v18.0 MR3, MR4, MR5 og MR6
- v17.5 MR12, MR13, MR14, MR15, MR16 og MR17
- v17.0 MR10
Brugere, der kører ældre versioner af Sophos Firewall, skal opgradere for at få rettelserne og blive beskyttet mod udnyttelsen.
Det er anden gang i år, at en Sophos Firewall-sårbarhed er blevet udsat for aktive angreb. I marts blev en anden fejl (CVE-2022-1040) brugt til angreb – også denne gang var det organisationer i det sydlige Asien genstand for angrebene.
Sårbarheden er kommet på KEV-listen med deadline for amerikanske føderale myndigheders håndtering af den senest den 14. oktober.
Links:
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
https://nvd.nist.gov/vuln/detail/CVE-2022-3236
https://www.bleepingcomputer.com/news/security/sophos-warns-of-new-firewall-rce-bug-exploited-in-attacks/
https://securityaffairs.co/wordpress/136135/security/sophos-user-portal-webadmin-bug.html
https://thehackernews.com/2022/09/hackers-actively-exploiting-new-sophos.html