Sophos 今天警告说,该公司防火墙产品中的一个关键代码注入安全漏洞正在被广泛利用。
“Sophos 观察到此漏洞被用于针对一小部分特定组织,主要是在南亚地区,”安全软件和硬件供应商警告说。
“我们已经直接通知了这些组织中的每一个。Sophos 将在我们继续调查时提供更多细节。”
该漏洞被跟踪为 CVE-2022-3236,在 Sophos Firewall 的用户门户和 Web 管理员中发现,允许攻击者执行代码 (RCE)。
该公司表示,它已针对受此安全漏洞影响的 Sophos Firewall 版本(v19.0 MR1 (19.0.1) 及更早版本)发布了修补程序,这些修补程序将自动推广到所有实例,因为默认情况下启用了自动更新。
“在修复版本上启用了‘允许自动安装修补程序’功能的 Sophos Firewall 客户无需执行任何操作(请参阅下面的修复部分)。启用是默认设置,”Sophos 解释说。
但是,该公司补充说,旧版 Sophos Firewall 的用户必须升级到受支持的版本才能接收 CVE-2022-3236 补丁。
它还提供了有关 启用自动修补程序安装功能 和 检查修补程序是否成功安装的详细信息。
Sophos 还为无法立即修补易受攻击的软件的客户提供了一种解决方法,这将要求他们确保防火墙的用户门户和 Web 管理员不会暴露于 WAN 访问。
“通过遵循 设备访问最佳实践来禁用对用户门户和 Webadmin 的 WAN 访问 ,而是使用 VPN 和/或 Sophos Central(首选)进行远程访问和管理,”该公司补充道。
Sophos Firewall 漏洞以前是攻击的目标
修补您的 Sophos Firewall 漏洞至关重要,特别是因为这不是第一个在野外被利用的此类漏洞。
例如,Sophos 在 3 月份修补了一个 类似的严重 Sophos Firewall 漏洞 (CVE-2022-1040) ,该漏洞 在用户门户和 Webadmin 中发现,让威胁参与者绕过身份验证并执行任意代码。
与 CVE-2022-3236 一样,它 也在 主要针对南亚组织的攻击中被利用。正如 Volexity 后来发现的那样,自 3 月初以来,一个被追踪为 DriftingCloud 的中国威胁组织利用 CVE-2022-1040 作为零日漏洞,大约在 Sophos 发布补丁前三周。
从 2020 年初开始,威胁参与者还滥用 XG Firewall SQL 注入零日 漏洞,目的是窃取用户名和密码等敏感数据。
作为使用零日攻击的一部分, Asnarök 木马恶意软件 利用它来尝试从易受攻击的 XG Firewall 实例中窃取防火墙凭据。
利用相同的零日漏洞 将 Ragnarok 勒索软件有效负载 推送到 Windows 企业网络上。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Sophos警告在攻击中利用新的防火墙RCE漏洞
