Die Sophos Firewall enthält eine Schwachstelle mit hohem Schweregrad, die aktiv in freier Wildbahn ausgenutzt wird, hat das Unternehmen bestätigt und Systemadministratoren aufgefordert, den Patch oder die Problemumgehung so schnell wie möglich anzuwenden.
In einer offiziellen Ankündigung sagte das Unternehmen, dass sich der Bedrohungsakteur, der den Fehler missbraucht, auf eine bestimmte Art von Unternehmen für seine Opfer konzentriert.
„Sophos hat beobachtet, dass diese Schwachstelle genutzt wird, um eine kleine Gruppe bestimmter Organisationen anzugreifen, hauptsächlich in der Region Südasien“, sagte Sophos. „Wir haben jede dieser Organisationen direkt informiert. Sophos wird weitere Einzelheiten mitteilen, während wir weiter nachforschen.“
Remote-Code-Ausführung
Die Schwachstelle wurde im Benutzerportal und im Webadmin entdeckt. Der als CVE-2022-3236 verfolgte Fehler ermöglicht es Angreifern, Code aus der Ferne auszuführen. Das Unternehmen hat bereits einen Fix veröffentlicht, der für die meisten Benutzer automatisch angewendet werden sollte. Standardmäßig ist die Funktion der automatischen Updates aktiviert, also sollten sie in Ordnung sein, es sei denn, Systemadministratoren haben sie absichtlich deaktiviert.
Diejenigen, die besonders vorsichtig sein sollten, sind diejenigen, die die Funktion deaktiviert haben, oder diejenigen, die ältere Versionen der Sophos Firewall verwenden. Diese müssten zuerst die Software aktualisieren.
Systemadministratoren, die den Patch derzeit nicht anwenden können, können auch die Problemumgehung verwenden, indem sie sicherstellen, dass das Benutzerportal und Webadmin nicht dem WAN ausgesetzt sind.
„Deaktivieren Sie den WAN-Zugriff auf das Benutzerportal und Webadmin, indem Sie Best Practices für den Gerätezugriff befolgen, und verwenden Sie stattdessen VPN und/oder Sophos Central (bevorzugt) für Fernzugriff und -verwaltung“, sagte Sophos.
Dies ist mindestens das dritte Mal in diesem Jahr, dass die Sophos Firewall aus den falschen Gründen Schlagzeilen machte. Im April dieses Jahres kündigte das Unternehmen das Patchen eines Fehlers an, der es Angreifern ermöglichte, beliebigen Code, einschließlich Viren und Malware, auf einem Endpunkt aus der Ferne auszuführen (öffnet in neuem Tab) seine Firewall-Software laufen ließ und Ende Juni CVE-2022-1040 (Authentifizierungsumgehungsfehler, der die Ausführung willkürlichen Codes ermöglicht) behebt.
Über: Piepender Computer (öffnet in neuem Tab)