Sophos ha informato che una vulnerabilità critica del proprio Firewall, già corretta, è sotto una ondata di tentaivi di sfruttamento. Cosa fare?
La vulnerabilità CVE-2022-1040
Sophos, come vendor di soluzioni di sicurezza, non ha bisogno di presentazioni. Data la sua diffusione è importante segnalare non solo la scoperta di una vulnerabilità, classificata come critica, nel Firewall ma anche che questa è attualmente sfruttata attivamente dagli attaccanti.
La CVE-2022-1040 è una vulnerabilità di Remote Code Execution (RCE): consente cioè, se sfruttata con successo, l'esecuzione di codice non autenticato da remoto. Scoperta due settimane fa circa, ha ricevuto un punteggio di criticità di 9.8 su 10. Consente di bypassare l'autenticazione ed è presente nel Portale Utente e nel Webadmin di Sophos Firewall.Le versioni di Sophos Firewall impattate sono la 18.5 MR3 (18.5.3) e precedenti, per le quali il vendor ha però già provveduto alla pubblicazione della patch.
Il fix è stato rilasciato dopo che un ricercatore di sicurezza anonimo ha avvisato il vendor tramite il programma di ricerca di bug (bug bounty) e verrà installato automaticamente per quegli utenti che hanno abilitato l'impostazione “Consenti installazione automatica di hotfix”. Quindi gli utenti conq questa impostazione attiva non dovranno fare nulla per risolvere il problema, come spiega l'advisory del vendor. Lo stesso avviso spiega però che, per alcune versioni precedenti e per quelle end-of-life si dovrà procedere all'aggiornamento manuale.
I consigli per proteggersi dagli exploit
Sophos ha pubblicato anche alcune indicazioni per la difesa, in generale, dai tentativi di sfruttamento attivo di vulnerabiltà: indicazioni preziose, visto il rilevamento di una lunghissima serie di tentativi di sfruttamento attivo della CVE-2022-1040.
Sophos spiega che è importante proteggere il Portale Utente e il Webadmin, ad esempio verificando che questi non siano esposti nel WAN. "Sarà utile disabilitare l'accesso WAN al portale utenti e webadmin seguendo le best practices per l'accesso ai device e uilizzare invece una VPN e/o Sophos Central per l'accesso e la gestione remoti".
La vulnerabilità è sfruttata attivamente
"Sophos ha osservato che questa vulnerabilità viene sfruttata attivamente per colpire le aziende" si legge nell'aggiornamento del vendor. La maggior parte di questi attacchi si sta concentrando nel sud del continente asiatico, ma si registrano tentativi anche in Europa.
Il precedente e la vulnerabilità dell'UTM
C'è un precedente che riguarda sempre il Firewall di Sohos. Nel 2020 il vendor registra una serie di tentativi di sfruttamento su una vulnerabilità 0-day di SQL injection nel Firewall XG. La vulnerabilità viene scoperta quando Sophos riceve report relativi ad attacchi in corso e già avvenuti. Già al tempo Sophos consigliava l'abilitazione degli aggiornamenti automatici come metodo di distribuzione veloce delle patch: come si sa infatti, risolvere una vulnerabilità non basta, se poi gli utenti non provvedono ad installarla. Al tempo questa vulnerabilità fu sfruttata per distribuire il trojan Asnarok, finalizzato al furto di credenziali, e il malware Ragnarok.
Nel frattempo Sophos fa sapere di aver risolto anche due vulnerabilità di criticità alta, la CVE-2022-0386 e la CVE-2022-0652, entrambe presenti nell'appliance Sophot UTM.
Nessun commento:
Posta un commento