Más de 4000 dispositivos Sophos Firewall orientados a Internet presentan una vulnerabilidad crítica que permite ejecución remota de código (RCE).
Esta vulnerabilidad rastreada con código CVE-2022-3236 y puntaje CVSS 9.8 fue encontrada en septiembre del 2022 en los módulos User Portal y Webadmin, para corregir el error se lanzaron algunas revisiones (hotfixes) para varias versiones de Sophos Firewall. Las correcciones oficiales fueron emitidas en diciembre del 2022. Para mayor detalle se puede verificar la página oficial del fabricante.
La compañía advirtió en ese momento que el error RCE estaba siendo explotado de forma agresiva en ataques contra organizaciones del sur de Asia.
Las revisiones de septiembre se implementaron en todas las instancias afectadas (v19.0MR1 / 19.0.1 e inferiores) gracias a que las actualizaciones automáticas están activadas de forma predeterminada.
Un análisis elaborado por VulnCheck demuestra que más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan el parche oficial para CVE-2022-3236. Pero alrededor del 93% ejecuta versiones que son elegibles para una revisión, y ya que el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente la vulnerabilidad está controlada.
Sin embargo, existe una brecha del 6% de Sophos Firewall (más de 4000 firewalls) ejecutando versiones que no recibieron una revisión, por lo que son vulnerables.
La explotación masiva probablemente se vería obstaculizada por Sophos Firewall ya que de forma predeterminada requiere que los clientes web resuelvan un captcha durante la autenticación.
Recomendaciones
- Instalar las respectivas actualizaciones entregadas por el proveedor.
- Verificar que se encuentren habilitadas las actualizaciones automáticas.
- Los administradores que no puedan parchar esta vulnerabilidad también pueden deshabilitar el acceso WAN a los módulos User Portal y Webadmin.
Referencias