A Sophos corrigiu uma falha que permitia execução remota de código em seu Sophos Firewall. Confira os detalhes dessa falha e da atualização.
A Sophos corrigiu uma vulnerabilidade crítica que permitia a execução remota de código (RCE) em seu produto Sophos Firewall.
Sophos corrigiu falha que permitia execução remota de código
Rastreada como CVE-2022-1040, a vulnerabilidade de bypass de autenticação existe nas áreas User Portal e Webadmin do Sophos Firewall.
Na sexta-feira, a Sophos divulgou uma vulnerabilidade crítica de execução remota de código afetando o Sophos Firewall versões 18.5 MR3 (18.5.3) e anteriores para as quais a empresa lançou hotfixes.
Atribuído CVE-2022-1040 com uma pontuação de 9,8 CVSS, a vulnerabilidade permite que um invasor remoto que pode acessar o Portal do Usuário do Firewall ou a interface Webadmin ignore a autenticação e execute código arbitrário.
A vulnerabilidade foi relatada com responsabilidade à Sophos por um pesquisador de segurança externo não identificado por meio do programa de recompensas de bugs da empresa.
Para resolver a falha, a Sophos lançou hotfixes que devem, por padrão, atingir a maioria das instâncias automaticamente.
“Não há necessidade de ação para os clientes do Sophos Firewall com o recurso ‘Permitir instalação automática de hotfixes’ habilitado. Habilitado é a configuração padrão”, explica a Sophos em seu comunicado de segurança.
O aviso de segurança, no entanto, implica que algumas versões mais antigas e produtos em fim de vida podem precisar ser acionados manualmente.
Como solução geral contra a vulnerabilidade, a empresa aconselha os clientes a protegerem o Portal do usuário e as interfaces Webadmin:
“Os clientes podem se proteger de invasores externos, garantindo que seu Portal de Usuário e Webadmin não sejam expostos à WAN”, diz o comunicado.
“Desabilite o acesso WAN ao Portal do Usuário e Webadmin seguindo as práticas recomendadas de acesso ao dispositivo e, em vez disso, use VPN e/ou Sophos Central para acesso e gerenciamento remotos.”
No início desta semana, a Sophos também resolveu duas vulnerabilidades de gravidade ‘Alta’ (CVE-2022-0386 e CVE-2022-0652) que afetam os dispositivos Sophos UTM (Unified Threat Management).
Continua sendo crucial garantir que suas instâncias do Sophos Firewall recebam os patches e hotfixes de segurança mais recentes em tempo hábil, já que os invasores já visaram instâncias vulneráveis do Sophos Firewall no passado.
No início de 2020, a Sophos corrigiu uma vulnerabilidade de injeção de SQL de dia zero em seu XG Firewall após relatos de que hackers estavam explorando ativamente em ataques.
A partir de abril de 2020, os agentes de ameaças por trás do malware trojan Asnarök exploraram o dia zero para tentar roubar nomes de usuários de firewall e senhas com hash de instâncias vulneráveis do XG Firewall.
O mesmo dia zero também foi explorado por hackers que tentavam entregar cargas de ransomware Ragnarok nos sistemas Windows das empresas.
Os usuários do Sophos Firewall são, portanto, aconselhados a certificar-se de que seus produtos estejam atualizados. O site de suporte da Sophos explica como habilitar a instalação automática de hotfix e verificar se o hotfix para CVE-2022-1040 atingiu seu produto com êxito.
Depois que a instalação automática de hotfix é habilitada, o Sophos Firewall verifica os hotfixes a cada trinta minutos e após qualquer reinicialização.