Sophos Firewall 中的一个严重代码注入漏洞已得到修复——但在不法分子发现并利用该漏洞之前尚未修复。
该漏洞被跟踪为 CVE-2022-3236,存在于 19.0 及更早版本的防火墙的用户门户和 Webadmin 组件中。虽然尚未发布 CVSS 严重性评分,但 Sophos 认为它“至关重要”,并指出它允许远程代码执行。
“Sophos 已经观察到这个漏洞被用于针对一小部分特定组织,主要是在南亚地区,”该供应商在本月的一份咨询中指出。“我们已经直接通知了这些组织中的每一个。”
这家英国安全软件供应商上周发布了受支持版本(v17.0 到 v19.0)的修补程序,并提供了一种解决方法,其中包括禁用对用户门户和 Webadmin 的 WAN 访问。
Sophos 还表示正在继续调查,并将在稍后提供更多细节。
截至周二,这家经常详细介绍影响其他软件供应商的漏洞和漏洞利用的安全商店的博客并未提及其自身的严重防火墙漏洞。
然而,其他软件供应商和安全研究人员确实对 Sophos 漏洞发表了看法,其中一个警告称,大规模利用的可能性“很高”。至少 28 个 CISA 的已知被利用漏洞涉及代码注入,Immanuel Chavoya 在推特上写道:
虽然 Sophos 尚未说明它认为谁利用该漏洞针对南亚组织,但中国政府支持的犯罪分子是今年早些时候涉及 Sophos Firewall 严重缺陷的攻击的幕后黑手。
就在上周,Recorded Future 发表了关于它归因于与北京有关的工作人员的多项活动的研究,这些活动被发现滥用软件供应商在 4 月修复的 Sophos Firewall 中的编程错误。
早期的关键远程代码执行漏洞,被跟踪为 CVE-2022-1040,也被用于针对南亚组织。根据 Recorded Future 的说法,至少三个中国政府资助的团体利用这个漏洞获得了对受害者网络的初始未经授权的访问权限。
Sophos 在其 6 月发布的调查中报告称,至少有两个高级持续性威胁组织在能够发布补丁之前利用了 CVE-2022-1040。该漏洞已被用于在受感染的设备上部署恶意软件。
该软件令人讨厌,以及其他邪恶活动,允许攻击者安装后门工具并窃取敏感数据;在受感染设备上写入、读取和操作文件和设置;并且在某些情况下,可以完全控制它运行的环境。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Sophos修复了被不法分子利用的关键防火墙漏洞
