Критическая уязвимость Sophos Firewall делает возможным удаленное выполнение кода

27 марта 2022 г.

Sophos-headpic.webp
Компания Sophos устранила критическую уязвимость в своем продукте Sophos Firewall, позволяющем выполнять удаленное выполнение кода (RCE).
Отслеживаемая как CVE-2022-1040, уязвимость обхода аутентификации существует в пользовательском портале и в областях веб-администрирования брандмауэра Sophos.

Ошибка RCE в консоли веб-администрирования​

В пятницу Sophos сообщила о критической уязвимости удаленного выполнения кода, затрагивающей Sophos Firewall версии 18.5 MR3 (18.5.3) и более ранних версий, для которой компания выпустила исправления.

Уязвимость, присвоенная CVE-2022-1040 с оценкой CVSS 9,8 , позволяет удаленному злоумышленнику, который может получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код.

user-portal-small.webp

Интерфейс пользовательского портала Sophos Firewall ( сообщество Sophos )

Об уязвимости ответственно сообщил Sophos неназванный сторонний исследователь безопасности через программу вознаграждения за обнаружение ошибок компании.
Чтобы устранить эту уязвимость, Sophos выпустила исправления, которые по умолчанию должны автоматически достигать большинства экземпляров.

«Для клиентов Sophos Firewall с включенной функцией «Разрешить автоматическую установку исправлений» никаких действий не требуется.

Включено — это настройка по умолчанию», — поясняет Sophos в своем бюллетене по безопасности .

Однако рекомендации по безопасности подразумевают, что некоторые старые версии и продукты с истекшим сроком службы, возможно, потребуется активировать вручную.
В качестве общего обходного пути против уязвимости компания рекомендует клиентам защитить свой пользовательский портал и интерфейсы веб-администрирования:

«Клиенты могут защитить себя от внешних злоумышленников, обеспечив, чтобы их пользовательский портал и веб-администратор не подвергались воздействию глобальной сети», — говорится в бюллетене.

«Отключите доступ через глобальную сеть к пользовательскому порталу и веб-администратору, следуя рекомендациям по доступу к устройствам, и вместо этого используйте VPN и/или Sophos Central для удаленного доступа и управления».

Ранее на этой неделе Sophos также устранила две уязвимости «высокой» степени серьезности (CVE-2022-0386 и CVE-2022-0652), влияющие на устройства Sophos UTM (Unified Threat Management).

Ошибки Sophos Firewall, ранее использовавшиеся злоумышленниками​

Крайне важно обеспечить своевременное получение вашими экземплярами Sophos Firewall последних исправлений и исправлений безопасности, учитывая, что в прошлом злоумышленники нацеливались на уязвимые экземпляры Sophos Firewall.

В начале 2020 года Sophos исправила уязвимость нулевого дня SQL-инъекций в своем межсетевом экране XG Firewall после сообщений о том, что хакеры активно использовали ее в атаках.

Начиная с апреля 2020 года злоумышленники, стоящие за троянским вредоносным ПО Asnarök , использовали нулевой день, чтобы попытаться украсть имена пользователей брандмауэра и хешированные пароли из уязвимых экземпляров брандмауэра XG.

Тот же нулевой день также использовался хакерами, пытавшимися доставить полезную нагрузку программы-вымогателя Ragnarok на системы Windows компаний.

Поэтому пользователям Sophos Firewall рекомендуется убедиться, что их продукты обновлены. На веб-сайте поддержки Sophos объясняется, как включить автоматическую установку исправлений и проверить, успешно ли установлено исправление для CVE-2022-1040 на вашем продукте.

После включения автоматической установки исправлений Sophos Firewall проверяет наличие исправлений каждые тридцать минут и после любого перезапуска.

Перевод - Google
Bleeping Computer
 
Назад
Сверху Снизу