공격자들이 Sophos의 방화벽 코드 인젝션 취약점을 악용합니다.
Sophos는 공격자들이 자사의 방화벽 제품에서 심각한 코드 인젝션 보안 취약점을 악용하고 있다고 경고했습니다. 공격자들은 야생에서 이 결함을 악용하고 있습니다.
이 취약점은 CVE-2022-3236으로 추적되며 Sophos 방화벽의 사용자 포털 및 웹 어드민에 존재하여 원격 코드 실행을 허용합니다.
"Sophos는 이 취약점이 주로 남아시아 지역의 소수의 특정 조직을 표적으로 삼는 데 사용되는 것을 관찰했습니다. 해당 조직에 이 사실을 직접 통보했습니다. 조사를 계속 진행하면서 자세한 내용을 알려드리겠습니다. 수정된 버전에서 '핫픽스 자동 설치 허용' 기능을 활성화한 Sophos Firewall 고객에게는 아무런 조치가 필요하지 않습니다(아래 수정 섹션 참조). 활성화가 기본 설정입니다."라고 Sophos는 설명했습니다.
소포스는 보안 버그의 영향을 받는 소포스 방화벽 버전(v19.o MR1(19.O.1) 이상)에 대한 핫픽스를 출시했다고 밝혔습니다. 이 회사는 자동 업데이트가 기본적으로 활성화되어 있으므로 모든 인스턴스에 업데이트를 자동으로 롤아웃 할 것이라고 말했습니다.
"수정된 버전에서 '핫픽스 자동 설치 허용' 기능을 활성화한 Sophos Firewall 고객에게는 아무런 조치가 필요하지 않습니다(아래 수정 섹션 참조). 기본 설정은 활성화입니다."라고 Sophos는 설명합니다.
이전 버전의 Sophos 방화벽을 사용하는 사용자는 지원되는 버전으로 업그레이드해야 CVE-2022-3236 패치를 받을 수 있습니다.
또한 취약한 소프트웨어를 즉시 패치할 수 없는 고객을 위해 사용자 포털과 방화벽의 웹 관리자가 WAN 액세스에 노출되지 않도록 하는 해결 방법을 제공했습니다.
"디바이스 액세스 모범 사례에 따라 사용자 포털 및 웹 어드민에 대한 WAN 액세스를 비활성화하고 대신 원격 액세스 및 관리를 위해 VPN 및/또는 Sophos Central(선호)을 사용하세요."라고 덧붙였습니다.
이 글의 출처는 BleepingComputer의 기사입니다.