Xu Hướng & Thị Trường

Lỗ hổng nghiêm trọng trong Sophos Firewall cho phép thực thi mã từ xa

Posted on by KAYOTEC
Lỗ hổng nghiêm trọng trong Sophos Firewall cho phép thực thi mã từ xa
29
Th3

Sophos vừa vá một lỗ hổng nghiêm trọng trong sản phẩm Sophos Firewall cho phép thực thi mã từ xa (RCE). Lỗ hổng này do một nhà nghiên cứu giấu tên báo cáo thông qua chương trình Bug Bounty của hãng.

Có mã định danh CVE-2022-1040, điểm CVSS 9.8 (version 3.x), đây là lỗi vượt qua xác thực tồn tại trong User Portal và Webadmin của Sophos Firewall.

Lỗi RCE trong bảng điều khiển quản trị web​

Lỗi này ảnh hưởng đến các phiên bản Sophos Firewall từ 18.5 MR3 (18.5.3) trở về trước, cho phép kẻ tấn công từ xa có thể truy cập vào User Portal của tường lửa hoặc giao diện Webadmin để vượt qua xác thực và thực thi mã tùy ý.

Để giải quyết lỗ hổng này, Sophos đã phát hành các bản sửa lỗi khẩn cấp (hotfix), theo mặc định sẽ tự động cập nhật trong hầu hết các trường hợp. Sophos giải thích trong khuyến cáo an ninh của mình: “Khách hàng của Sophos Firewall không cần thực hiện thao tác nào vì tính năng ‘Allow automatic installation of hotfixes’ (Cho phép cài đặt tự động các bản sửa lỗi khẩn cấp) đã được bật mặc định.

Tuy nhiên, khuyến cáo an ninh cũng đề cập đến việc một số phiên bản cũ hơn và các sản phẩm đã không còn được hỗ trợ (end-of-life) có thể cần phải được cập nhật thủ công.

Một biện pháp chung để nhằm giảm thiểu ảnh hưởng của lỗ hổng mà Sophos đưa ra đó là, khách hàng cẩn đảm bảo giao diện User Portal và Webadmin của mình an toàn. Cụ thể:

  • “Khách hàng có thể tự bảo vệ mình khỏi các cuộc tấn công bằng cách đảm bảo User Portal và Webadmin không để lộ ra ngoài mạng WAN (Wide Area Network).
  • Tắt quyền truy cập WAN đến User Portal và Webadmin bằng cách tuân theo các phương pháp tốt nhất để truy cập đến thiết bị và thay vào đó sử dụng VPN và/hoặc Sophos Central để truy cập và quản lý từ xa.”

Vừa qua Sophos cũng đã giải quyết hai lỗ hổng nghiêm trọng là CVE-2022-0386 và CVE-2022-0652 ảnh hưởng đến các thiết bị Sophos UTM (Unified Threat Management).

Các lỗ hổng Sophos Firewall đã từng bị khai thác 

Đầu năm 2020, Sophos đã vá một lỗ hổng zero-day tiêm nhiễm SQL trong XG Firewall sau khi được báo cáo tin tặc đang tích cực khai thác. Từ tháng 4 năm 2020, kẻ tấn công đứng sau phần mềm độc hại trojan Asnarök đã khai thác zero-day để cố gắng đánh cắp tên người dùng firewall và mật khẩu đã được băm từ các phiên bản tường lửa XG tồn tại lỗ hổng.

Lỗi zero-day tương tự cũng đã bị tin tặc khai thác khi lây nhiễm mã độc tống tiền Ragnarok vào hệ thống Windows của các công ty. Do đó, người dùng Sophos Firewall nên đảm bảo rằng sản phẩm được cập nhật phiên bản mới nhất. Trang web hỗ trợ của Sophos đã hướng dẫn cách bật cài đặt hotfix tự động và xác minh hotfix cho CVE-2022-1040 thành công.

Sau khi thiết lập bật hotfix tự động, Sophos Firewall sẽ kiểm tra các bản hotfix 30 phút/lần và sau mỗi lần khởi động lại.

Theo Bleepingcomputer

Bình chọn
KAYOTEC

Chuyên cung cấp phần mềm bản quyền (software license) chính hãng tại Việt Nam các thương hiệu: Norton, Kaspersky, ESET, Trend Micro, Bitdefender, Mcafee. Windows, Microsoft 365. Và hàng chục thương hiệu khác.

Vui lòng liên hệ hotline 0379768688 để được hỗ trợ, chúng tôi ngừng cho phép đặt hàng trực tuyến tại Website.
More info Accept