Los atacantes aprovechan la vulnerabilidad de inyección de código del cortafuegos de Sophos
Sophos ha advertido que los atacantes están explotando una vulnerabilidad crítica de seguridad de inyección de código en el producto Firewall de la compañía. Los atacantes están explotando el fallo in the wild.
La vulnerabilidad está rastreada como CVE-2022-3236 y reside en el Portal de Usuario y Webadmin del cortafuegos de Sophos, permitiendo la ejecución remota de código.
"Sophos ha observado que esta vulnerabilidad se utiliza para atacar a un pequeño conjunto de organizaciones específicas, principalmente en la región del sur de Asia. Hemos informado directamente a cada una de estas organizaciones. Sophos proporcionará más detalles a medida que continuemos investigando. Los clientes de Sophos Firewall que tengan activada la función "Permitir la instalación automática de revisiones" en las versiones corregidas no tienen que hacer nada (véase la sección Corrección más abajo). Activada es la configuración por defecto", explicó Sophos.
Sophos ha declarado que ha publicado hotfixes para las versiones de Sophos Firewall afectadas por el fallo de seguridad (v19.o MR1 (19.O.1) y anteriores. La empresa declaró que desplegaría automáticamente la actualización en todas las instancias, ya que las actualizaciones automáticas están activadas por defecto.
Los clientes de Sophos Firewall que tengan activada la función "Permitir la instalación automática de revisiones" en las versiones corregidas (véase la sección Corrección más abajo) no tienen que hacer nada. Activada es la configuración por defecto", explicó Sophos.
Los usuarios de versiones anteriores del cortafuegos de Sophos tendrían que actualizarse a una versión compatible para obtener el parche CVE-2022-3236.
La empresa también proporcionó una solución a los clientes que no podían parchear inmediatamente el software vulnerable para garantizar que el portal de usuario y el administrador web del cortafuegos no queden expuestos al acceso WAN.
"Desactive el acceso WAN al portal de usuarios y Webadmin siguiendo las mejores prácticas de acceso a dispositivos y, en su lugar, utilice VPN y/o Sophos Central (preferido) para el acceso y la gestión remotos", añadió la empresa.
Las fuentes de este artículo incluyen un artículo en BleepingComputer.