A empresa Sophos corrigiu uma vulnerabilidade crítica que fazia parte do Sophos Firewall e permitia a execução remota de código (RCE). Essa falha teve como número de rastreio o CVE-2022-1040. Trata-se de uma vulnerabilidade de bypass de autenticação existe nas áreas User Portal e Webadmin do Sophos Firewall. Na última sexta-feira, a Sophos divulgou uma vulnerabilidade crítica de execução remota de código afetando o Sophos Firewall versões 18.5 MR3 (18.5.3) e anteriores para as quais a empresa lançou hotfixes.
Atribuído CVE-2022-1040 com uma pontuação de 9,8 CVSS, a vulnerabilidade permite que um invasor remoto que pode acessar o Portal do Usuário do Firewall ou a interface Webadmin ignore a autenticação e execute código arbitrário.
A vulnerabilidade foi relatada com responsabilidade à Sophos por um pesquisador de segurança externo não identificado por meio do programa de recompensas de bugs da empresa.
Para resolver a falha, a Sophos lançou hotfixes que devem, por padrão, atingir a maioria das instâncias automaticamente.
“Não há nenhuma ação necessária para os clientes do Sophos Firewall com o recurso ‘Permitir instalação automática de hotfixes’ habilitado. Habilitado é a configuração padrão”, explica a Sophos em seu comunicado de segurança.
Falha crítica do Sophos Firewall permite execução remota de código
O aviso de segurança, no entanto, implica que algumas versões mais antigas e produtos em fim de vida podem precisar ser acionados manualmente.
Como solução geral contra a vulnerabilidade, a empresa aconselha os clientes a protegerem o Portal do usuário e as interfaces Webadmin:
“Os clientes podem se proteger de invasores externos, garantindo que o Portal do usuário e o Webadmin não sejam expostos à WAN”, diz o comunicado.
“Desabilite o acesso WAN ao Portal do Usuário e Webadmin seguindo as práticas recomendadas de acesso ao dispositivo e, em vez disso, use VPN e/ou Sophos Central para acesso e gerenciamento remotos.”
No início desta semana, a Sophos também resolveu duas vulnerabilidades de gravidade ‘Alta’ (CVE-2022-0386 e CVE-2022-0652) que afetam os dispositivos Sophos UTM (Unified Threat Management).
Bugs do Sophos Firewall explorados anteriormente por invasores
Continua sendo crucial garantir que suas instâncias do Sophos Firewall recebam os patches de segurança e os hotfixes mais recentes em tempo hábil. Isso porque os invasores tiveram como alvo instâncias vulneráveis do Sophos Firewall no passado.
No início de 2020, a Sophos corrigiu uma vulnerabilidade de injeção de SQL de dia zero em seu XG Firewall após relatos de que hackers estavam explorando ativamente em ataques.
A partir de abril de 2020, os agentes de ameaças responsáveis pelo malware trojan Asnarök exploraram o dia zero para tentar roubar nomes de usuários de firewall e senhas com hash de instâncias vulneráveis do XG Firewall.
O mesmo dia zero também foi explorado por hackers que tentavam entregar cargas de ransomware Ragnarok nos sistemas Windows das empresas.
Os usuários do Sophos Firewall são, portanto, aconselhados a certificar-se de que seus produtos estejam atualizados. O site de suporte da Sophos explica como habilitar a instalação automática de hotfix e verificar se o hotfix para CVE-2022-1040 atingiu seu produto com êxito.
Depois que a instalação automática de hotfix é habilitada, o Sophos Firewall verifica os hotfixes a cada trinta minutos e após qualquer reinicialização.
Via BleepingComputer
