Sophos avverte del nuovo bug del firewall sfruttato negli attacchi RCE
Pubblicato da Angelo Domeneghini in Privacy - Sicurezza - BUG · 26 Settembre 2022
Tags: #firewall, #bug, #sophos, #sicurezza
Tags: #firewall, #bug, #sophos, #sicurezza
Sophos avverte del nuovo bug del firewall sfruttato negli attacchi RCE
Sophos ha avvertito oggi che una vulnerabilità critica della sicurezza dell'iniezione di codice nel prodotto Firewall dell'azienda viene sfruttata in natura.
"Sophos ha osservato che questa vulnerabilità viene utilizzata per colpire un piccolo gruppo di organizzazioni specifiche, principalmente nella regione dell'Asia meridionale", ha avvertito il fornitore di software e hardware di sicurezza.
"Abbiamo informato direttamente ciascuna di queste organizzazioni. Sophos fornirà ulteriori dettagli mentre continuiamo a indagare".
Tracciato come CVE-2022-3236, il difetto è stato rilevato nel portale utente e nell'amministratore Web di Sophos Firewall, consentendo agli aggressori di eseguire codice (RCE).
La società afferma di aver rilasciato hotfix per le versioni di Sophos Firewall interessate da questo bug di sicurezza (v19.0 MR1 (19.0.1) e precedenti) che verranno implementati automaticamente in tutte le istanze poiché gli aggiornamenti automatici sono abilitati per impostazione predefinita.
"Non è richiesta alcuna azione per i clienti di Sophos Firewall con la funzione 'Consenti installazione automatica di hotfix' abilitata nelle versioni corrette (vedere la sezione Riparazione di seguito). Abilitata è l'impostazione predefinita", ha spiegato Sophos.
Tuttavia, la società ha aggiunto che gli utenti di versioni precedenti di Sophos Firewall avrebbero dovuto eseguire l'aggiornamento a una versione supportata per ricevere la patch CVE-2022-3236.
Fornisce inoltre informazioni dettagliate sull'abilitazione della funzionalità di installazione automatica dell'aggiornamento rapido e sul controllo se l'aggiornamento rapido è stato installato correttamente.
Sophos fornisce inoltre una soluzione alternativa per i clienti che non possono applicare immediatamente una patch al software vulnerabile che richiederà loro di garantire che il portale utente e l'amministratore Web del firewall non siano esposti all'accesso WAN.
"Disabilitare l'accesso WAN al portale utente e all'amministratore Web seguendo le best practice per l'accesso ai dispositivi e utilizzare invece VPN e/o Sophos Central (preferito) per l'accesso e la gestione remoti", ha aggiunto la società.
La correzione dei bug di Sophos Firewall è di fondamentale importanza, soprattutto perché questo non è il primo difetto di questo tipo sfruttato in natura.
Ad esempio, Sophos ha corretto un bug critico simile di Sophos Firewall (CVE-2022-1040) a marzo, scoperto nel portale utente e nell'amministratore Web, consentendo agli attori delle minacce di aggirare l'autenticazione ed eseguire codice arbitrario.
Proprio come CVE-2022-3236, è stato anche sfruttato in attacchi concentrati principalmente su organizzazioni dell'Asia meridionale. Come ha scoperto in seguito Volexity, un gruppo di minacce cinesi monitorato come DriftingCloud ha sfruttato CVE-2022-1040 come zero-day dall'inizio di marzo, circa tre settimane prima che Sophos rilasciasse le patch.
Gli attori delle minacce hanno anche abusato di un'iniezione SQL di XG Firewall zero-day a partire dall'inizio del 2020 con l'obiettivo di rubare dati sensibili come nomi utente e password.
Nell'ambito degli attacchi in cui è stato utilizzato lo zero-day, il malware trojan Asnarök lo ha sfruttato per cercare di rubare le credenziali del firewall da istanze vulnerabili di XG Firewall.
Lo stesso zero-day è stato sfruttato per spingere i payload del ransomware Ragnarok sulle reti aziendali Windows.