La software house di Abingdon ha corretto una vulnerabilità critica in Sophos Firewall che può essere sfruttata per eseguire codice remoto. Il bug, segnalato da un ricercatore esterno, è stato risolto con il fix distribuito nel fine settimana. Gli utenti devono scaricare l’aggiornamento nel minor tempo possibile, dato che il software è uno dei bersagli preferiti dai cybercriminali.
Sophos Firewall: aggiornare subito
Alla vulnerabilità, identificata con CVE-2022-1040, è stato assegnato un livello di gravità pari a 9.8. Il problema di sicurezza era presente nella versione 18.5 MR3 (18.5.3) di Sophos Firewall. Un malintenzionato potrebbe accedere all’interfaccia User Portal o Webadmin, senza effettuare l’autenticazione.
Sophos ha innanzitutto consigliato di disattivare l’accesso WAN a User Portal e Webadmin, seguendo le “best practices” indicate sul sito. Per la gestione e l’accesso remoto è meglio utilizzare una VPN e/o Sophos Central.
Il fix è stato rilasciato nel fine settimana. Il download non richiede l’intervento manuale, se è attiva l’installazione automatica nelle impostazioni (opzione predefinita). La disponibilità degli aggiornamenti viene controllata ogni 30 minuti e dopo ogni riavvio. Per verificare la corretta installazione del fix è possibile usare questo comando:
test -f /static/up_mode_json_stamp && echo "Hotfix is applied" || echo "Hotfix isn't applied"
Sophos Firewall ha ricevuto in passato le attenzioni dei cybercriminali. Sfruttando una vulnerabilità zero-day (SQL injection) è stato installato il trojan Asnarök per rubare username e password hashed, mentre altri malintenzionati hanno tentato di distribuire il ransomware Ragnarok sui sistemi Windows dell’azienda. Grazie al rilascio rapido del fix, gli attacchi non hanno avuto successo.