Sophos 修复严重的防火墙 RCE 漏洞

聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

上周五，Sophos 披露了影响 Sophos Firewall 版本 18.5 MR3 (18.5.3) 及更早版本的一个严重的远程代码执行漏洞，目前已发布热补丁。

该漏洞 (CVE-2022-1040) 的CVSS 评分为9.8，可导致能够访问防火墙User Portal 或Webadmin 接口的远程攻击者绕过认证并执行任意代码。该漏洞已由未透露姓名的外部研究员通过该公司的漏洞奖励计划报告。为修复该漏洞，Sophos 公司发布了热修复方案，在默认情况下应该可以自动触及多数实例。

Sophos 公司发布安全公告指出，“启用了‘允许自动安装’特性的Sophos 防火墙客户无需采取任何措施。默认是启用状态。”

然而，这份安全公告还指出，某些老旧版本和已过生命周期的产品可能需要手动修复。该漏洞的一个通过应变措施是“确保User Portal 和 Webadmin 未暴露到 WAN。按照设备访问最佳实践禁用对User Portal 和 Webadmin 的WAN 访问权限，使用VPN和/或 Sophos Central 进行远程访问和管理。”

上周早些时候，Sophos 公司还修复了两个高危漏洞（CVE-2022-0386和CVE-2022-0652），它们影响 Sophos UTM 设备。

鉴于攻击者过去曾攻击易受攻击的Sophos 防火墙实例，因此确保这些实例及时应用最新补丁和热修复方案很重要。

2020年早期，Sophos 公司获悉遭利用后，修复了位于 XG Firewall 中的一个0day SQL 漏洞。从2020年4月开始，Asnarök 木马恶意软件攻击者就已在利用该0day 试图从易受攻击的 XG Firewall 实例中窃取防火墙用户名和哈希密码。该0day已被黑客用于将 Ragnarok 勒索软件payload 传播到企业Windows 系统上。

因此建议 Sophos Firewall 用户确保产品得到更新。Sophos 支持网站解释了如何启用自动热修复方案安装并验证CVE-2022-1040的热修复方案是否已成功应用于产品中。一旦启用自动热修复方案安装，Sophos Firewall 就会每隔30分钟和在每次重启后检查热修复方案。