Источник :-


Обзор

В марте 2022 года Sophos исправила критическую уязвимость в своих продуктах Sophos Firewall. Уязвимость отслеживается как CVE-2022-1040 и позволяет выполнять удаленное выполнение кода (RCE). Уязвимость обхода аутентификации, позволяющая удаленно выполнять код, была обнаружена на пользовательском портале и в веб-админке Sophos Firewall и ответственно раскрыта Sophos. Об этом сообщил сторонний исследователь безопасности через программу Sophos bug bounty. Уязвимость была исправлена.

Уязвимость имеет рейтинг CVSS 9,8 и является критической по степени серьезности. Хотя уязвимость была исправлена ​​в марте компанией Sophos, Shadow Server, ресурс для отчетов по интернет-безопасности, заметил всплеск сканирования, проверяющего наличие уязвимости. Согласно Shadow Server, доказательство концепции (POC) было опубликовано 9 мая 2022 года и используется в настоящее время.


Обходной путь

Sophos заявила, что для клиентов с включенной функцией «Разрешить автоматическую установку исправлений» не требуется никаких действий, поскольку «включено» является настройкой по умолчанию. Однако, если эта функция не включена, организациям необходимо установить исправление вручную. До сих пор эта уязвимость использовалась для атак организаций в регионе Южной Азии, но любой организации, имеющей более старые версии или продукты с истекшим сроком службы, может потребоваться обновление вручную.

Sophos также заявила, что клиенты, которым нужен обходной путь для CVE-2022-1040, должны защитить свои интерфейсы веб-администрирования пользовательского портала, убедившись, что они не подвергаются воздействию глобальной сети. Следуйте рекомендациям по доступу к устройствам, чтобы отключить доступ через глобальную сеть к пользовательскому порталу и веб-администратору.

Компания Sophos обнаружила, что эта уязвимость используется для нападения на небольшой набор конкретных организаций, главным образом в регионе Южной Азии. Мы проинформировали каждую из этих организаций напрямую. Sophos предоставит дополнительную информацию по мере продолжения расследования.

Применяется к следующим продуктам и версиям Sophos.

Sophos Firewall v18.5 MR3 (18.5.3) и старше

  • Клиенты могут защитить себя от внешних злоумышленников, обеспечив, чтобы их пользовательский портал и веб-администратор не подвергались воздействию глобальной сети.

  • Отключите доступ через глобальную сеть к пользовательскому порталу и веб-администратору, следуя рекомендациям по доступу к устройствам, и вместо этого используйте VPN и/или Sophos Central для удаленного доступа и управления.


Подробный

  • В начале 2020 года Sophos исправила уязвимость нулевого дня SQL-инъекций в своем межсетевом экране XG Firewall после сообщений о том, что хакеры активно использовали ее в атаках.

  • Тот же нулевой день также использовался хакерами, пытавшимися доставить полезную нагрузку программы-вымогателя Ragnarok на системы Windows компаний.

  • Начиная с апреля 2020 года злоумышленники, стоящие за троянским вредоносным ПО Asnarök, использовали нулевой день, чтобы попытаться украсть имена пользователей брандмауэра и хешированные пароли из уязвимых экземпляров брандмауэра XG.

  • Уязвимость, отмеченная как CVE-2022-1040, представляет собой уязвимость обхода аутентификации в пользовательском портале и веб-админке брандмауэра Sophos. Это влияет на версию 18.5 MR3 (18.5.3) и более ранние версии устройства.

  • Эксплойт даст злоумышленникам контроль над устройством и позволит им отключить брандмауэр, добавить новых пользователей или использовать его в качестве плацдарма для более глубокого проникновения в сеть компании.


Исправление

  • Исправления для v17.0 MR10 EAL4+, v17.5 MR16 и MR17, v18.0 MR5(-1) и MR6, v18.5 MR1 и MR2 и v19.0 EAP были опубликованы 23 марта 2022 г.

  • Исправления для неподдерживаемых версий EOL v17.5 MR12–MR15 и v18.0 MR3 и MR4 были опубликованы 23 марта 2022 г.

  • Исправления для неподдерживаемой версии EOL v18.5 GA, опубликованные 24 марта 2022 г.

  • Исправления для v18.5 MR3, опубликованные 24 марта 2022 г.

  • Исправления для неподдерживаемой версии EOL v17.5 MR3, опубликованные 4 апреля 2022 г.

  • Исправление включено в v19.0 GA и v18.5 MR4 (18.5.4)

Пользователям более старых версий Sophos Firewall необходимо выполнить обновление, чтобы получить последние средства защиты и это исправление.

Уязвимость, присвоенная CVE-2022-1040 с оценкой CVSS 9,8, позволяет удаленному злоумышленнику, который может получить доступ к пользовательскому порталу брандмауэра или интерфейсу веб-администрирования, обойти аутентификацию и выполнить произвольный код.

Чтобы устранить эту уязвимость, Sophos выпустила исправления, которые по умолчанию должны автоматически достигать большинства экземпляров. Однако рекомендации по безопасности подразумевают, что некоторые старые версии и продукты с истекшим сроком службы, возможно, потребуется активировать вручную.

Крайне важно обеспечить своевременное получение вашими экземплярами Sophos Firewall последних исправлений и исправлений безопасности, учитывая, что в прошлом злоумышленники нацеливались на уязвимые экземпляры Sophos Firewall.

Поэтому пользователям Sophos Firewall рекомендуется убедиться, что их продукты обновлены. На веб-сайте поддержки Sophos объясняется, как включить автоматическую установку исправлений и проверить, успешно ли установлено исправление для CVE-2022-1040 на вашем продукте.

После включения автоматической установки исправлений Sophos Firewall проверяет наличие исправлений каждые тридцать минут и после каждого перезапуска.

Эта уязвимость является третьей ошибкой вендора в этом месяце. Ранее в марте были обнаружены еще две, отслеживаемые как CVE-2022-0386 (проблема с внедрением SQL после аутентификации) и CVE-2022-0652 (ошибка небезопасных прав доступа). Они затронули унифицированное устройство управления угрозами Sophos UTM.


использованная литература


Источник :-