La software house di Abingdon ha corretto una vulnerabilità critica in Sophos Firewall che può essere sfruttata per eseguire codice remoto. Il bug, segnalato da un ricercatore esterno, è stato risolto con il fix distribuito nel fine settimana. Gli utenti devono scaricare l’aggiornamento nel minor tempo possibile, dato che il software è uno dei bersagli preferiti dai cybercriminali.
Sophos Firewall: aggiornare subito
Alla vulnerabilità, identificata con CVE-2022-1040, è stato assegnato un livello di gravità pari a 9.8. Il problema di sicurezza era presente nella versione 18.5 MR3 (18.5.3) di Sophos Firewall. Un malintenzionato potrebbe accedere all’interfaccia User Portal o Webadmin, senza effettuare l’autenticazione.
Sophos ha innanzitutto consigliato di disattivare l’accesso WAN a User Portal e Webadmin, seguendo le “best practices” indicate sul sito. Per la gestione e l’accesso remoto è meglio utilizzare una VPN e/o Sophos Central.
Il fix è stato rilasciato nel fine settimana. Il download non richiede l’intervento manuale, se è attiva l’installazione automatica nelle impostazioni (opzione predefinita). La disponibilità degli aggiornamenti viene controllata ogni 30 minuti e dopo ogni riavvio. Per verificare la corretta installazione del fix è possibile usare questo comando:
test -f /static/up_mode_json_stamp && echo "Hotfix is applied" || echo "Hotfix isn't applied"
Sophos Firewall ha ricevuto in passato le attenzioni dei cybercriminali. Sfruttando una vulnerabilità zero-day (SQL injection) è stato installato il trojan Asnarök per rubare username e password hashed, mentre altri malintenzionati hanno tentato di distribuire il ransomware Ragnarok sui sistemi Windows dell’azienda. Grazie al rilascio rapido del fix, gli attacchi non hanno avuto successo.
Ti potrebbe interessare
28 mar 2022