Sophos ha publicado un aviso de seguridad sobre una vulnerabilidad crítica en su producto Sophos Firewall, que permitiría a un atacante realizar ejecución remota de código (RCE).
La vulnerabilidad CVE-2022-1040 de severidad crítica, con una puntuación asignada de 9.8. Esta falla se debe a un error en la consola de administración web existente en las áreas “Portal de usuario” y “Webadmin” de Sophos Firewall, que permitiría a un atacante remoto acceder al Portal o a la interfaz Webadmin omitiendo la autenticación y posteriormente realizar la ejecución remota de código (RCE).
Las versiones afectadas en Sophos son:
- Sophos Firewall v18.5 MR3 (18.5.3) y versiones anteriores.
Recomendamos confirmar que el hotfix se ha aplicado al firewall, mediante el siguiente enlace:
No se requiere ninguna acción para los clientes de Sophos Firewall que poseen la función «Permitir la instalación automática de hotfixes» habilitada, y la misma es la configuración predeterminada.
Adicionalmente, recomendamos a los clientes protegerse de atacantes externos asegurándose de que su Portal de usuario y Webadmin no estén expuestos a través de la interfaz WAN:
- Puede deshabilitar el acceso WAN al Portal de usuario y Webadmin siguiendo las prácticas recomendadas de acceso a dispositivos y, en su lugar, utilizar una conexión VPN y/o Sophos Central para el acceso y la gestión remota.
Referencias:
- https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
- https://nvd.nist.gov/vuln/detail/CVE-2022-1040
- https://www.bleepingcomputer.com/news/security/critical-sophos-firewall-vulnerability-allows-remote-code-execution/