NUEVA VULNERABILIDAD DE SOPHOS FIREWALL

File:Sophos logo.png - Wikipedia

La empresa británica de software y hardware de seguridad, Sophos, anunció que se descubrió una vulnerabilidad de omisión de autenticación que permitía la ejecución de código remota (RCE) en el Portal de usuario y en el administrador web de Sophos Firewall. La vulnerabilidad ha sido corregida, sin embargo, está siendo ampliamente explotada.

Sophos continúa con las investigaciones de la vulnerabilidad, a la que se registró como CVE-2022-1040, la misma afecta las versiones de Sophos Firewall 18.5 MR3 (18.5.3) y anteriores.

Es así como la solución que se encontró para solventar la vulnerabilidad fue permitir la instalación automática de revisiones habilitada por defecto. Alternativamente se recomienda deshabilitar el acceso WAN al Portar de usuario y Webadmin para en su lugar, usar VPN o Sophos Central para el acceso y la administración remotos.

Recomendaciones

Para verificar si se necesita aplicar la revisión para CVE-2022-1040 se puede usar el siguiente comando desde un shell:

test -f /static/up_mode_json_stamp && echo «Hotfix is applied» || echo «Hotfix isn’t applied»

Una vez aplicado el comando, se tendrá una de las siguientes salidas:

  • Se aplica la revisión

# SFVUNL_SO01_SFOS 18.5.2 MR-2-Build380# test -f /static/up_mode_json_stamp && echo «Hotfix is applied» || echo «Hotfix isn’t applied» Hotfix is applied

  • No se aplica la revisión

# SFVUNL_SO01_SFOS 18.5.2 MR-2-Build380# test -f /static/up_mode_json_stamp && echo «Hotfix is applied» || echo «Hotfix isn’t applied» Hotfix isn’t applied

Finalmente, para permitir la instalación automática de revisiones en la consola de Firewall:

  1. Vaya a Copia de seguridad y firmware > Firmware > Revisión.
  2. Active Permitir la instalación automática de revisiones.
  3. Haga clic en Aplicar 

Para mayor información: