La vulnérabilité critique de Sophos Firewall permet l'exécution de code à distance

  • Principal
  • Nouvelles
  • La vulnérabilité critique de Sophos Firewall permet l'exécution de code à distance

Sophos a corrigé une vulnérabilité critique dans son produit Sophos Firewall qui permet l'exécution de code à distance (RCE).

Suivie sous le nom de CVE-2022-1040, la vulnérabilité de contournement d'authentification existe dans les zones du portail utilisateur et de l'administration Web de Sophos Firewall.

Erreur RCE dans la console de gestion Web

Vendredi, Sophos a révélé une vulnérabilité critique d'exécution de code à distance affectant les versions 18.5 MR3 (18.5.3) et antérieures de Sophos Firewall pour lesquelles la société a publié des correctifs.

Attribuée CVE-2022-1040, la vulnérabilité permet à un attaquant distant qui peut accéder au portail utilisateur du pare-feu ou à l'interface Webadmin de contourner l'authentification et d'exécuter du code arbitraire.

La vulnérabilité a été signalée de manière responsable à Sophos par un chercheur en sécurité tiers anonyme via le programme Bug Bounty de l'entreprise.

Pour corriger la faille, Sophos a publié des correctifs qui, par défaut, devraient toucher automatiquement la plupart des instances.

'Aucune action n'est requise pour les clients Sophos Firewall avec la fonctionnalité 'Autoriser l'installation automatique des correctifs' activée. Activé est le paramètre par défaut », explique Sophos dans son avis de sécurité.

Cependant, l'avis de sécurité implique que certaines versions plus anciennes et certains produits en fin de vie devront peut-être être actionnés manuellement.

En tant que solution générale contre la vulnérabilité, la société conseille aux clients de sécuriser leurs interfaces de portail utilisateur et d'administration Web :

'Les clients peuvent se protéger contre les attaquants externes en s'assurant que leur portail utilisateur et leur administrateur Web ne sont pas exposés au WAN', indique l'avis.

'Désactivez l'accès WAN au portail utilisateur et à l'administrateur Web en suivant les meilleures pratiques d'accès aux appareils et utilisez plutôt le VPN et/ou Sophos Central pour l'accès et la gestion à distance.'

Plus tôt cette semaine, Sophos a également résolu deux vulnérabilités de gravité « élevée » (CVE-2022-0386 et CVE-2022-0652) affectant les appliances Sophos Unified Threat Management (UTM).

Bogues de Sophos Firewall précédemment exploités par des attaquants

Il reste crucial de s'assurer que vos instances de Sophos Firewall reçoivent les derniers correctifs de sécurité et correctifs à temps, car les attaquants ont ciblé les instances vulnérables de Sophos Firewall dans le passé.

Début 2020, Sophos a corrigé une vulnérabilité d'injection SQL zero-day dans son pare-feu XG après avoir signalé que des pirates l'exploitaient activement dans des attaques.

À partir d'avril 2020, les acteurs de la menace à l'origine du logiciel malveillant Asnarök Trojan ont exploité le jour zéro pour tenter de voler les noms d'utilisateur du pare-feu et les mots de passe chiffrés des instances vulnérables de XG Firewall.

Le même jour zéro avait également été exploité par des pirates essayant de fournir des charges utiles de rançongiciel Ragnarok sur les systèmes Windows des entreprises.

Il est donc conseillé aux utilisateurs de Sophos Firewall de s'assurer que leurs produits sont à jour. Le site Web de support Sophos explique comment activer l'installation automatique des correctifs et vérifier si le correctif pour CVE-2022-1040 est arrivé avec succès dans votre produit.

Une fois l'installation automatique des correctifs activée, Sophos Firewall recherche les correctifs toutes les trente minutes et après chaque redémarrage.

Qu'est-ce que tu penses?