Abonner
SIKKERHET

Sophos brannmur: Advarer om kritisk sårbarhet under aktive angrep

Åpner for fjernkjøring av vilkårlig kode.

Brannmuren har vært utsatt for flere nulldagssårbarheter de siste årene.
Brannmuren har vært utsatt for flere nulldagssårbarheter de siste årene.
Del
Kommenter
Marius B. JørgenrudMarius B. JørgenrudJournalist
26. sep. 2022 - 14:20

CVE-2022-3236 beskriver en svikt i brukerportalen og det webbaserte administrasjonsgrensesnittet til Sophos Firewall, som åpner for at en angriper kan fjernkjøre vilkårlig ondsinnet kode.

Angripere kan ta fullstendig kontroll over berørte utgaver av brannmuren. Det er allerede observert aktive angrep over internett, så dette er en kritisk sårbarhet.

Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) og norske Justiscert er blant etatene som har sendt ut varsel.

CISA har lagt denne sårbarheten inn i sin katalog over trusler som føderale, sivile etater i USA er beordret til å fikse innen en frist.

Feilfiks utgitt

Sophos kom i forrige uke med lappesaker for versjon 19.0 og eldre utgaver av produktet. Det er utgitt fiks blant annet til versjonene 19.5, 18.5, 18.0, 17.5 og 17.0.

Mange kunder vil motta feilfiks uten å måtte foreta seg noe spesielt, såfremt man har aktivert «automatisk installasjon av hotfikser», som er standardvalgt.

Men det finnes eldre utgaver av brannmuren som ikke får hjelp. Det er nødvendig å oppgradere til en supportert versjon for å motta sikkerhetsfiksen, påpeker leverandøren.

De som av ulike grunner ikke umiddelbart har anledning til å installere fiks, bør som et midlertidig tiltak hindre at brannmurens brukerportal og webadmin er eksponert mot nettet. Rådet er å skru av WAN-aksess og heller benytte seg av VPN eller Sophos Central til fjernaksess.

Målrettede angrep

Produsenten fastslår at denne sårbarheten er utnyttet i faktiske angrep.

Artikkelen fortsetter etter annonsen
annonsørinnhold
PwC
– Vi har vår egen ChatPwC som kjører lokalt. Vi deler derfor ingen informasjon ut av huset

– Sophos har observert at denne sårbarheten blir brukt i målrettede angrep mot et mindre utvalg av særskilte virksomheter, hovedsaklig i Sørøst-Asia-regionen, konstaterer cybersikkerhetsselskapet i sitt varsel.

De oppgir ikke hvem som er rammet, men understreker at alle berørte har mottatt varsel fra leverandøren direkte.

Det er andre gang i 2022 at Sophos Firewall har vært utsatt for aktive angrep med en nyoppdaget sårbarhet. Nokså likeartede CVE-2022-1040 ble oppdaget i mars.

Samme brannmur har vært under angrep også tidligere.

Citrix' nettverksutstyr, her representert ved en Netscaler ADC-enhet, har alvorlig sårbarhet som ennå ikke er fikset.
Les også

Citrix-servere utsatt for farlige angrep – mange norske servere er fremdeles sårbare

Les mer om:
BRANNMURSÅRBARHETERSIKKERHET
Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.
Tekjobb
Se flere jobber
Kreditorforeningen
Senior IT-konsulent
Kreditorforeningen
Bergen
30. apr.
    En tjeneste fra