Η Sophos διόρθωσε μια κρίσιμη ευπάθεια στο προϊόν Sophos Firewall που επιτρέπει στους επιτιθέμενους την εκτέλεση κώδικα απομακρυσμένα (RCE).
Η ευπάθεια είναι γνωστή ως CVE-2022-1040 και εντοπίζεται σε User Portal και Webadmin console του Sophos Firewall.
Η κρίσιμη ευπάθεια αποκαλύφθηκε την Παρασκευή από τη Sophos και η εταιρεία κυκλοφόρησε επείγουσες διορθώσεις για να την αντιμετωπίσει. Σύμφωνα με την εταιρεία, η ευπάθεια επηρεάζει τις εκδόσεις 18.5 MR3 (18.5.3) και προηγούμενες του Sophos Firewall.
Δείτε επίσης: FBI: Ρώσος ιδιοκτήτης cybercrime market στη λίστα των πιο καταζητούμενων
Η ευπάθεια έχει λάβει βαθμολογία CVSS 9,8 και επιτρέπει σε έναν απομακρυσμένο εισβολέα που μπορεί να έχει πρόσβαση στο User Portal ή στο Webadmin interface του Sophos Firewall, να παρακάμπτει τον έλεγχο ταυτότητας και να εκτελεί κώδικα.
Η ευπάθεια αναφέρθηκε υπεύθυνα στη Sophos από έναν ανώνυμο εξωτερικό ερευνητή ασφάλειας μέσω του προγράμματος bug bounty της εταιρείας.
Όπως είπαμε παραπάνω, η εταιρεία έσπευσε να διορθώσει το σφάλμα κυκλοφορώντας επείγουσες επιδιορθώσεις, οι οποίες, από προεπιλογή, φτάνουν αυτόματα στα firewall.
“Δεν απαιτείται καμία ενέργεια από τους πελάτες του Sophos Firewall αν έχουν ενεργοποιημένη τη δυνατότητα “Allow automatic installation of hotfixes“, εξηγεί η Sοphos στο security advisory της.
Ωστόσο, ορισμένες παλαιότερες εκδόσεις και προϊόντα που αποσύρονται σιγά σιγά, μπορεί να χρειαστούν ενημέρωση manually.
Ως γενική λύση για την αντιμετώπιση της ευπάθειας, η εταιρεία συμβουλεύει τους πελάτες να προστατεύουν τα User Portal και Webadmin interfaces του Sophos Firewall:
“Οι πελάτες μπορούν να προστατεύονται από εξωτερικούς εισβολείς διασφαλίζοντας ότι το User Portal και Webadmin τους δεν είναι εκτεθειμένα“, αναφέρει η συμβουλή.
“Απενεργοποιήστε το WAN access στα User Portal και Webadmin ακολουθώντας τις βέλτιστες πρακτικές πρόσβασης στη συσκευή και χρησιμοποιήστε το VPN ή/και το Sophos Central για απομακρυσμένη πρόσβαση και διαχείριση“.
Δείτε επίσης: Ένας έφηβος είναι πιθανόν ο εγκέφαλος πίσω από την ομάδα Lapsus$
Πριν μερικές ημέρες, η Sophos είχε επίσης διορθώσει δύο σοβαρές ευπάθειες (CVE-2022-0386 και CVE-2022-0652) που επηρεάζουν Sοphos UTM (Unified Threat Management).
Sophos Firewall: Hackers είχαν εκμεταλλευτεί bugs στο παρελθόν
Είναι σημαντικό να ενημερώνετε άμεσα τα Sophos Firewall instances, καθώς οι επιτιθέμενοι δεν χάνουν χρόνο και επιτίθενται.
Στις αρχές του 2020, η Sophos διόρθωσε μια zero-day ευπάθεια SQL injection στο XG Firewall της μετά από αναφορές ότι οι hackers τη χρησιμοποιούσαν ενεργά σε επιθέσεις.
Από τον Απρίλιο του 2020, οι παράγοντες απειλών πίσω από το Asnarök trojan είχαν εκμεταλλευτεί το zero-day σφάλμα για να προσπαθήσουν να κλέψουν firewall usernames και hashed passwords από ευάλωτα XG Firewall instances.
Το ίδιο zero-day είχε χρησιμοποιηθεί και από άλλους hackers για την εγκατάσταση του Ragnarok ransomware σε συστήματα Windows.
Δείτε επίσης: ΗΠΑ: Οι χάκερ προσπαθούν να εκμεταλλευτούν ΚΑΙ τη φετινή φορολογική περίοδο
Ως εκ τούτου, συνιστάται στους χρήστες του Sophos Firewall να βεβαιωθούν ότι τα προϊόντα τους είναι ενημερωμένα. Ο ιστότοπος υποστήριξης της Sοphos δίνει λεπτομέρειες για την ενημέρωση και την ενεργοποίησή της.
Πηγή: Bleeping Computer