Pouco tempo depois de lançar uma correção, a Sophos alerta que o bug crítico de firewall ainda está sendo explorado.
A Sophos, fornecedora de segurança cibernética com sede na Grã-Bretanha, alertou que um bug do Sophos Firewall recentemente corrigido que permite a execução remota de código (RCE) agora é ativamente explorado em ataques.
Sophos alerta que o bug crítico de firewall ainda está sendo explorado
A falha de segurança é rastreada como CVE-2022-1040 e recebeu uma classificação de gravidade crítica com uma pontuação base de 9,8/10 CVSS.
Ele permite que invasores remotos ignorem a autenticação por meio do Portal do usuário do firewall ou da interface Webadmin e executem código arbitrário.
A vulnerabilidade foi descoberta e relatada por um pesquisador anônimo que descobriu que ela afeta o Sophos Firewall v18.5 MR3 (18.5.3) e anteriores.
“A Sophos observou que essa vulnerabilidade está sendo usada para atingir um pequeno conjunto de organizações específicas principalmente na região do sul da Ásia.”, disse a empresa em uma atualização do comunicado de segurança original.
“Informamos cada uma dessas organizações diretamente. A Sophos fornecerá mais detalhes enquanto continuamos a investigar.”
Para resolver o bug crítico, a Sophos lançou hotfixes que devem ser implantados automaticamente em todos os dispositivos vulneráveis, já que o recurso ‘Permitir instalação automática de hotfixes’ está habilitado por padrão.
No entanto, os hotfixes lançados para versões de fim de vida útil do Sophos Firewall devem ser atualizados manualmente para corrigir a falha de segurança e se defender contra os ataques em andamento.
Para esses clientes e aqueles que desabilitaram as atualizações automáticas, há também uma solução alternativa que exige que eles protejam o Portal do usuário e as interfaces Webadmin restringindo o acesso externo.
“Os clientes podem se proteger de invasores externos, garantindo que o Portal do Usuário e o Webadmin não sejam expostos à WAN”, acrescentou a Sophos.
“Desabilite o acesso WAN ao Portal do Usuário e Webadmin seguindo as práticas recomendadas de acesso ao dispositivo e, em vez disso, use VPN e/ou Sophos Central para acesso e gerenciamento remotos.”
A Sophos fornece informações detalhadas sobre como habilitar o recurso de instalação automática de hotfix e verificar se o hotfix foi implantado com êxito.
Após ativar a instalação automática de hotfix, o Sophos Firewall verificará se há novos hotfixes a cada trinta minutos e após a reinicialização.
A correção de suas instâncias do Sophos Firewall é extremamente importante, especialmente porque elas foram exploradas anteriormente em estado selvagem, com os agentes de ameaças abusando de uma injeção de SQL do XG Firewall de dia zero a partir do início de 2020.
O malware trojan Asnarök também foi usado para explorar o mesmo dia zero para tentar roubar credenciais de firewall de instâncias vulneráveis do XG Firewall.
A falha zero-day também foi explorada em ataques que tentavam enviar cargas úteis do ransomware Ragnarok para redes corporativas do Windows.