严重Sophos防火墙RCE漏洞可以主动利用

网络安全公司 Sophos 周一警告称，其防火墙产品中最近修补的一个关键安全漏洞正被积极利用在现实世界的攻击中。

该漏洞被跟踪为CVE-2022-1040，在 CVSS 评分系统中被评为 9.8 分（满分 10 分），并影响 Sophos Firewall 版本 18.5 MR3 (18.5.3) 及更早版本。它与用户门户和 Webadmin 界面中的身份验证绕过漏洞有关，如果成功武器化，则允许远程攻击者执行任意代码。

概述

在 Sophos Firewall 的用户门户和 Webadmin 中发现了允许远程执行代码的身份验证绕过漏洞，并负责任地向 Sophos 披露。它是由外部安全研究人员通过 Sophos 漏洞赏金计划报告的。该漏洞已得到修复。

启用了“允许自动安装修补程序”功能的 Sophos Firewall 客户无需执行任何操作。启用是默认设置。

Sophos 观察到此漏洞被用于针对主要在南亚地区的一小部分特定组织。我们已经直接通知了这些组织中的每一个。Sophos 将在我们继续调查时提供更多详细信息。

适用于以下 Sophos 产品和版本

Sophos Firewall v18.5 MR3 (18.5.3) 及更早版本

解决方法

客户可以通过确保其用户门户和 Webadmin 不暴露于 WAN 来保护自己免受外部攻击者的侵害。

按照设备访问最佳做法禁用对用户门户和 Webadmin 的 WAN 访问，而是使用 VPN 和/或 Sophos Central 进行远程访问和管理。

整治

• 2022 年 3 月 23 日发布的 v17.0 MR10 EAL4+、v17.5 MR16 和 MR17、v18.0 MR5(-1) 和 MR6、v18.5 MR1 和 MR2 以及 v19.0 EAP 的修补程序
• 2022 年 3 月 23 日发布的不受支持的 EOL 版本 v17.5 MR12 至 MR15 以及 v18.0 MR3 和 MR4 的修补程序
• 2022 年 3 月 24 日发布的不受支持的 EOL 版本 v18.5 GA 的修补程序
• 2022 年 3 月 24 日发布的 v18.5 MR3 的修补程序
• v19.0 GA 和 v18.5 MR4 (18.5.4) 中包含的修复
• 旧版本 Sophos Firewall 的用户需要升级以获得最新的保护和此修复

原文始发于微信公众号（河南等级保护测评）：严重Sophos防火墙RCE漏洞可以主动利用