Sophos Firewall RCE 正在被广泛利用 (CVE-2022-3236)

影响版本

- Sophos Firewall <= v19.0 MR1 (19.0.1)

安全版本
- Sophos Firewall v19.5 GA

- Sophos Firewall v19.0 MR2 (19.0.2)

- Sophos Firewall v19.0 GA、MR1 和 MR1-1

- Sophos Firewall v18.5 MR5 (18.5.5)

- Sophos Firewall v18.5 GA、MR1、MR1-1、MR2、MR3 和 MR4

- Sophos Firewall v18.0 MR3、MR4、MR5 和 MR6

- Sophos Firewall v17.5 MR12、MR13、MR14、MR15、MR16 和 MR17

- Sophos Firewall v17.0 MR10

漏洞简介
Sophos 已在其防火墙解决方案中修补了一个被积极利用的远程代码执行漏洞 (CVE-2022-3236)，并已将修复推送给启用了自动安装修补程序的客户。

如果此消息引发似曾相识的感觉，那是有充分理由的：

今年早些时候，攻击者利用同一组件中的另一个零日 (CVE-2022-1040)攻击“一小部分特定组织，主要是在南亚地区”——这一次也是一样。

关于 CVE-2022-3236

CVE-2022-3236 是 Sophos Firewall 的用户门户和 Webadmin 中的代码注入漏洞。

如果成功利用，它允许在目标易受攻击的安装上执行远程代码执行 (RCE)。

它影响 Sophos Firewall v19.0 MR1 (19.0.1) 及更早版本。

Sophos 发布了其中的各种修补程序，并已将修补程序包含在 v18.5 MR5 (18.5.5)、v19.0 MR2 (19.0.2) 和 v19.5 GA 中。

修补程序已通过在修复版本上启用的“允许自动安装修补程序”功能推送给客户（该功能默认启用）。

建议未启用该功能的客户获取修补程序或升级到更新版本。

如果这些都不可能，他们可以通过禁用对用户门户和 Webadmin 的 WAN 访问来保护自己免受外部攻击者的侵害。

作为远程访问和管理的替代方案，他们可以使用 VPN 和/或 Sophos Central 云管理平台。

“旧版 Sophos Firewall 的用户需要升级才能获得最新的保护和此修复，”该公司表示。

那攻击呢？

CVE-2022-3236 已添加到 CISA 的已知已利用漏洞目录中，这意味着美国联邦民事行政部门机构需要对其进行修复。

Sophos 没有透露被攻击者通过 CVE-2022-3236 入侵的组织的名称，但表示他们“直接通知了这些组织中的每一个”。

原文始发于微信公众号（K8实验室）：Sophos Firewall RCE 正在被广泛利用 (CVE-2022-3236)