Sophos faz backport para corrigir falha em firewalls mais antigos

Da Redação
14/12/2023

A Sophos optou por fazer o backport de uma atualização de segurança para versões de firmware de firewalls em fim de vida útil (EOL) depois de descobrir hackers explorando ativamente a falha em ataques. O bug é um problema de injeção de código no portal do usuário e webadmin do Sophos Firewall, que permite a execução remota de código.

A Sophos corrigiu o problema de segurança em setembro de 2022, quando alertou sobre a exploração, que afeta as versões 19.0.1 e anteriores.

Embora o hotfix tenha sido implementado automaticamente para dispositivos configurados para aceitar automaticamente atualizações de segurança da fornecedora, até janeiro deste ano, mais de 4 mil dispositivos expostos à internet permaneciam vulneráveis a ataques.

Muitos desses dispositivos eram dispositivos mais antigos que executavam firmware em fim de vida útil que tinham que aplicar mitigações ou aplicar manualmente o hotfix, e os hackers aproveitaram essa lacuna. “Neste mês, entregamos uma correção atualizada após identificar novas tentativas de exploração contra essa mesma vulnerabilidade em versões mais antigas e sem suporte do Sophos Firewall”, diz o boletim de segurança atualizado da empresa.

A Sophos diz que desenvolveu imediatamente um patch para certas versões de firmware EOL, que foi aplicado automaticamente a 99% das organizações afetadas que ativaram o ‘aceitar hotfix’. “Os invasores geralmente procuram dispositivos EOL e firmware de qualquer fornecedor de tecnologia, por isso recomendamos fortemente que as organizações atualizem seus dispositivos EOL e firmware para as versões mais recentes”, alerta a empresa.

Se a opção de atualização automática para hotfixes foi desabilitada, é recomendável habilitá-la e seguir este guia para verificar se o hotfix foi aplicado.

Veja isso
Fortinet corrige falha crítica em firewalls Fortigate SSL-VPN
Exploit para bugs em firewalls Juniper permite ataques RCE

Como alternativa, deve ser atualizada manualmente para uma das seguintes versões do Sophos Firewall, que abordam CVE-2022-3236:

  • v19.0 GA, MR1 e MR1-1
  • v18.5 GA, MR1, MR1-1, MR2, MR3 e MR4
  • v18.0 MR3, MR4, MR5 e MR6
  • v17.5 MR12, MR13, MR14, MR15, MR16 e MR17
  • v17.0 MR10
  • v19.0 GA, MR1 e MR1-1
  • v18.5 GA, MR1, MR1-1, MR2, MR3 e MR4
  • v17.0 MR10

Se estiver usando uma versão ainda mais antiga do Sophos Firewall, é aconselhado a atualizar para uma das versões listadas acima.Para casos em que a atualização é impossível, a solução recomendada é restringir o acesso WAN ao portal do usuário e ao webadmin seguindo estas instruções e, em vez disso, usar VPN ou Sophos Central para acesso e gerenciamento remotos.

Compartilhar: