Sophos faz retrocompatibilidade de correção RCE após ataques em firewalls sem suporte
13 de Dezembro de 2023

A Sophos optou por trazer uma atualização de segurança para o CVE-2022-3236 para versões de firmware de firewall no fim da vida (EOL) após descobrir que hackers estavam explorando ativamente a falha em ataques.

A falha é um problema de injeção de código no Portal do Usuário e Webadmin do Firewall Sophos, permitindo a execução remota de código.

A Sophos corrigiu o problema de segurança em setembro de 2022 quando alertou sobre a exploração ativa no ambiente virtual, afetando as versões 19.0.1 e anteriores.

Embora a correção rápida tenha sido automaticamente distribuída para aparelhos configurados para aceitar automaticamente atualizações de segurança do fornecedor, em janeiro de 2023, mais de 4.000 aparelhos expostos à internet ainda eram vulneráveis a ataques.

Muitos desses dispositivos eram mais antigos e executavam firmware EOL que precisava aplicar mitigações ou aplicar manualmente a correção rápida, e os hackers se aproveitaram dessa lacuna.

"Em dezembro de 2023, fornecemos uma correção atualizada após identificar novas tentativas de exploração contra essa mesma vulnerabilidade em versões mais antigas e sem suporte do Firewall Sophos", lê-se no boletim de segurança atualizado.

"Imediatamente desenvolvemos um patch para certas versões de firmware EOL, que foi aplicado automaticamente para 99% das organizações afetadas que têm 'aceitar correção rápida' ativado."

"Os invasores comumente procuram por dispositivos EOL e firmware de qualquer fornecedor de tecnologia, então recomendamos fortemente que as organizações atualizem seus dispositivos EOL e firmware para as versões mais recentes."

Se a opção de atualização automática para correções rápidas foi desativada, recomenda-se ativá-la e, em seguida, seguir este guia para verificar se a correção rápida foi aplicada.

Alternativamente, atualize manualmente para uma das seguintes versões do Firewall Sophos, que abordam o CVE-2022-3236 :

v19.0 GA, MR1 e MR1-1
v18.5 GA, MR1, MR1-1, MR2, MR3 e MR4
v18.0 MR3, MR4, MR5 e MR6
v17.5 MR12, MR13, MR14, MR15, MR16 e MR17
v17.0 MR10
v19.0 GA, MR1 e MR1-1
v18.5 GA, MR1, MR1-1, MR2, MR3 e MR4
v17.0 MR10

Se você estiver usando uma versão ainda mais antiga do Firewall Sophos, é aconselhável atualizar para uma das versões listadas acima.

Para casos em que a atualização é impossível, a solução alternativa recomendada é restringir o acesso WAN ao Portal do Usuário e Webadmin, seguindo estas instruções e, em vez disso, usar VPN ou Sophos Central para acesso e gerenciamento remoto.

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...