Des attaquants exploitent la vulnérabilité d'injection de code du pare-feu de Sophos
Sophos a averti que des attaquants exploitent une vulnérabilité de sécurité critique par injection de code dans le produit Firewall de l'entreprise. Les attaquants exploitent la faille dans la nature.
La vulnérabilité est répertoriée sous le nom de CVE-2022-3236 et réside dans le portail utilisateur et l'administrateur Web du pare-feu Sophos, permettant l'exécution de code à distance.
"Sophos a observé que cette vulnérabilité était utilisée pour cibler un petit groupe d'organisations spécifiques, principalement dans la région de l'Asie du Sud. Nous avons informé directement chacune de ces organisations. Sophos fournira plus de détails au fur et à mesure que nous poursuivrons notre enquête. Aucune action n'est requise pour les clients de Sophos Firewall dont la fonction "Autoriser l'installation automatique des correctifs" est activée sur les versions remédiées (voir la section Remédiation ci-dessous). Activé est le paramètre par défaut", explique Sophos.
Sophos a déclaré avoir publié des correctifs pour les versions de Sophos Firewall affectées par le bug de sécurité (v19.o MR1 (19.O.1) et plus anciennes. La société a déclaré qu'elle déploierait automatiquement la mise à jour à toutes les instances puisque les mises à jour automatiques sont activées par défaut.
"Aucune action n'est requise pour les clients de Sophos Firewall dont la fonction 'Autoriser l'installation automatique des correctifs' est activée sur les versions remédiées (voir la section Remédiation ci-dessous). Activé est le paramètre par défaut", explique Sophos.
Les utilisateurs d'anciennes versions du pare-feu Sophos doivent passer à une version prise en charge pour obtenir le correctif CVE-2022-3236.
L'entreprise a également fourni une solution de contournement pour les clients qui ne pouvaient pas appliquer immédiatement un correctif au logiciel vulnérable afin de s'assurer que le portail utilisateur et l'administrateur Web du pare-feu ne sont pas exposés à un accès WAN.
"Désactivez l'accès WAN au portail utilisateur et à l'administrateur Web en suivant les meilleures pratiques d'accès aux périphériques et utilisez plutôt un VPN et/ou Sophos Central (de préférence) pour l'accès et la gestion à distance ", ajoute l'entreprise.
Les sources de cet article comprennent un article de BleepingComputer.