Sophos corrigiu uma falha que permitia execução remota de código

A Sophos corrigiu uma falha que permitia execução remota de código em seu Sophos Firewall. Confira os detalhes dessa falha e da atualização.

A Sophos corrigiu uma vulnerabilidade crítica que permitia a execução remota de código (RCE) em seu produto Sophos Firewall.

Sophos corrigiu falha que permitia execução remota de código

Sophos corrigiu uma falha que permitia execução remota de código

Rastreada como CVE-2022-1040, a vulnerabilidade de bypass de autenticação existe nas áreas User Portal e Webadmin do Sophos Firewall.

Na sexta-feira, a Sophos divulgou uma vulnerabilidade crítica de execução remota de código afetando o Sophos Firewall versões 18.5 MR3 (18.5.3) e anteriores para as quais a empresa lançou hotfixes.

Atribuído CVE-2022-1040 com uma pontuação de 9,8 CVSS, a vulnerabilidade permite que um invasor remoto que pode acessar o Portal do Usuário do Firewall ou a interface Webadmin ignore a autenticação e execute código arbitrário.

Sophos corrigiu uma falha que permitia execução remota de código – Interface do Portal do Usuário do Sophos Firewall (Comunidade Sophos)

A vulnerabilidade foi relatada com responsabilidade à Sophos por um pesquisador de segurança externo não identificado por meio do programa de recompensas de bugs da empresa.

Para resolver a falha, a Sophos lançou hotfixes que devem, por padrão, atingir a maioria das instâncias automaticamente.

“Não há necessidade de ação para os clientes do Sophos Firewall com o recurso ‘Permitir instalação automática de hotfixes’ habilitado. Habilitado é a configuração padrão”, explica a Sophos em seu comunicado de segurança.

O aviso de segurança, no entanto, implica que algumas versões mais antigas e produtos em fim de vida podem precisar ser acionados manualmente.

Como solução geral contra a vulnerabilidade, a empresa aconselha os clientes a protegerem o Portal do usuário e as interfaces Webadmin:

“Os clientes podem se proteger de invasores externos, garantindo que seu Portal de Usuário e Webadmin não sejam expostos à WAN”, diz o comunicado.

“Desabilite o acesso WAN ao Portal do Usuário e Webadmin seguindo as práticas recomendadas de acesso ao dispositivo e, em vez disso, use VPN e/ou Sophos Central para acesso e gerenciamento remotos.”

No início desta semana, a Sophos também resolveu duas vulnerabilidades de gravidade ‘Alta’ (CVE-2022-0386 e CVE-2022-0652) que afetam os dispositivos Sophos UTM (Unified Threat Management).

Continua sendo crucial garantir que suas instâncias do Sophos Firewall recebam os patches e hotfixes de segurança mais recentes em tempo hábil, já que os invasores já visaram instâncias vulneráveis ​​do Sophos Firewall no passado.

No início de 2020, a Sophos corrigiu uma vulnerabilidade de injeção de SQL de dia zero em seu XG Firewall após relatos de que hackers estavam explorando ativamente em ataques.

A partir de abril de 2020, os agentes de ameaças por trás do malware trojan Asnarök exploraram o dia zero para tentar roubar nomes de usuários de firewall e senhas com hash de instâncias vulneráveis ​​do XG Firewall.

O mesmo dia zero também foi explorado por hackers que tentavam entregar cargas de ransomware Ragnarok nos sistemas Windows das empresas.

Os usuários do Sophos Firewall são, portanto, aconselhados a certificar-se de que seus produtos estejam atualizados. O site de suporte da Sophos explica como habilitar a instalação automática de hotfix e verificar se o hotfix para CVE-2022-1040 atingiu seu produto com êxito.

Depois que a instalação automática de hotfix é habilitada, o Sophos Firewall verifica os hotfixes a cada trinta minutos e após qualquer reinicialização.

Deixe um comentário

Sair da versão mobile