Sophos avertit qu’un bug critique du pare-feu est activement exploité

Sophos

Le fournisseur britannique de cybersécurité Sophos a averti qu’un bug du pare-feu Sophos récemment corrigé permettant l’exécution de code à distance (RCE) est désormais activement exploité dans les attaques.

La faille de sécurité est identifiée comme CVE-2022-1040 et a reçu une cote de gravité critique avec un score de base CVSS de 9,8/10.

Il permet aux attaquants distants de contourner l’authentification via le portail utilisateur ou l’interface Webadmin du pare-feu et d’exécuter du code arbitraire.

La vulnérabilité a été découverte et signalée par un chercheur anonyme qui a découvert qu’elle affectait Sophos Firewall v18.5 MR3 (18.5.3) et les versions antérieures.

« Sophos a observé que cette vulnérabilité était utilisée pour cibler un petit ensemble d’organisations spécifiques principalement dans la région de l’Asie du Sud », a déclaré la société dans une mise à jour de l’avis de sécurité d’origine.

« Nous avons informé chacune de ces organisations directement. Sophos fournira de plus amples détails au fur et à mesure que nous poursuivrons notre enquête. »

Correctifs et solutions de contournement

Pour résoudre le bug critique, Sophos a publié des correctifs qui devraient être automatiquement déployés sur tous les appareils vulnérables puisque la fonctionnalité « Autoriser l’installation automatique des correctifs » est activée par défaut.

Cependant, les correctifs publiés pour les versions en fin de vie de Sophos Firewall doivent être mis à jour manuellement pour corriger la faille de sécurité et se défendre contre les attaques en cours.

Pour ces clients et ceux qui ont désactivé les mises à jour automatiques, il existe également une solution de contournement les obligeant à sécuriser les interfaces du portail utilisateur et de l’administration Web en limitant l’accès externe.

« Les clients peuvent se protéger contre les attaquants externes en s’assurant que leur portail utilisateur et leur Webadmin ne sont pas exposés au WAN, » Sophos ajoutée.

« Désactivez l’accès WAN au portail utilisateur et à Webadmin en suivant bonnes pratiques d’accès aux appareils et utilisez à la place VPN et/ou Sophos Central pour l’accès et la gestion à distance. »

Dans l’exploitation sauvage des bugs de Sophos Firewall

Sophos fournit des informations détaillées sur activation de la fonction d’installation automatique du correctif et vérifier si le correctif a été déployé avec succès.

Après avoir basculé sur l’installation automatique des correctifs, Sophos Firewall recherchera de nouveaux correctifs toutes les trente minutes et après les redémarrages.

L’application de correctifs à vos instances Sophos Firewall est d’une importance cruciale, d’autant plus qu’elles ont déjà été exploitées à l’état sauvage, les acteurs de la menace abusant d’une injection SQL XG Firewall zero-day à partir du début de 2020.

Le logiciel malveillant cheval de Troie Asnarök a également été utilisé pour exploiter le même zero-day afin d’essayer de voler les informations d’identification du pare-feu des instances XG Firewall vulnérables.

Le jour zéro a également été exploité dans des attaques visant à pousser les charges utiles du rançongiciel Ragnarok sur les réseaux d’entreprise Windows.