Angreifer nutzen Sophos' Firewall-Code-Injection-Schwachstelle aus
Sophos hat davor gewarnt, dass Angreifer eine kritische Code-Injection-Sicherheitslücke im Firewall-Produkt des Unternehmens ausnutzen. Die Angreifer nutzen die Schwachstelle in freier Wildbahn aus.
Die Sicherheitslücke wird als CVE-2022-3236 geführt und befindet sich im User Portal und Webadmin der Sophos Firewall, wodurch Remotecodeausführung möglich ist.
"Sophos hat beobachtet, dass diese Schwachstelle genutzt wird, um eine kleine Gruppe bestimmter Organisationen, hauptsächlich in der Region Südasien, anzugreifen. Wir haben jede dieser Organisationen direkt informiert. Sophos wird im Laufe der weiteren Untersuchungen weitere Details bekannt geben. Für Sophos Firewall-Kunden, bei denen die Funktion 'Automatische Installation von Hotfixes zulassen' auf den behobenen Versionen aktiviert ist, sind keine Maßnahmen erforderlich (siehe Abschnitt 'Behebung' unten). Aktiviert ist die Standardeinstellung", erklärt Sophos.
Sophos hat Hotfixes für die von dem Sicherheitsproblem betroffenen Versionen der Sophos Firewall (v19.o MR1 (19.O.1) und älter) veröffentlicht. Das Unternehmen gab an, dass das Update automatisch auf alle Instanzen ausgerollt wird, da automatische Updates standardmäßig aktiviert sind.
"Für Sophos Firewall-Kunden, bei denen die Funktion 'Automatische Installation von Hotfixes zulassen' für reparierte Versionen aktiviert ist, sind keine Maßnahmen erforderlich (siehe Abschnitt 'Reparatur' unten). Aktiviert ist die Standardeinstellung", erklärt Sophos.
Benutzer älterer Versionen der Sophos Firewall müssen ein Upgrade auf eine unterstützte Version durchführen, um den Patch CVE-2022-3236 zu erhalten.
Für Kunden, die die verwundbare Software nicht sofort patchen konnten, stellte das Unternehmen einen Workaround zur Verfügung, um sicherzustellen, dass das Benutzerportal und der Web-Admin der Firewall nicht dem WAN-Zugang ausgesetzt sind.
"Deaktivieren Sie den WAN-Zugriff auf das Benutzerportal und Webadmin, indem Sie die Best Practices für den Gerätezugriff befolgen und stattdessen VPN und/oder Sophos Central (bevorzugt) für den Remote-Zugriff und die Verwaltung verwenden", so das Unternehmen weiter.
Zu den Quellen für diesen Beitrag gehört ein Artikel in BleepingComputer.