CVE-2022-3236 beskriver en svikt i brukerportalen og det webbaserte administrasjonsgrensesnittet til Sophos Firewall, som åpner for at en angriper kan fjernkjøre vilkårlig ondsinnet kode.
Angripere kan ta fullstendig kontroll over berørte utgaver av brannmuren. Det er allerede observert aktive angrep over internett, så dette er en kritisk sårbarhet.
Amerikanske Cybersecurity and Infrastructure Security Agency (CISA) og norske Justiscert er blant etatene som har sendt ut varsel.
CISA har lagt denne sårbarheten inn i sin katalog over trusler som føderale, sivile etater i USA er beordret til å fikse innen en frist.
Feilfiks utgitt
Sophos kom i forrige uke med lappesaker for versjon 19.0 og eldre utgaver av produktet. Det er utgitt fiks blant annet til versjonene 19.5, 18.5, 18.0, 17.5 og 17.0.
Mange kunder vil motta feilfiks uten å måtte foreta seg noe spesielt, såfremt man har aktivert «automatisk installasjon av hotfikser», som er standardvalgt.
Men det finnes eldre utgaver av brannmuren som ikke får hjelp. Det er nødvendig å oppgradere til en supportert versjon for å motta sikkerhetsfiksen, påpeker leverandøren.
De som av ulike grunner ikke umiddelbart har anledning til å installere fiks, bør som et midlertidig tiltak hindre at brannmurens brukerportal og webadmin er eksponert mot nettet. Rådet er å skru av WAN-aksess og heller benytte seg av VPN eller Sophos Central til fjernaksess.
Målrettede angrep
Produsenten fastslår at denne sårbarheten er utnyttet i faktiske angrep.
– Sophos har observert at denne sårbarheten blir brukt i målrettede angrep mot et mindre utvalg av særskilte virksomheter, hovedsaklig i Sørøst-Asia-regionen, konstaterer cybersikkerhetsselskapet i sitt varsel.
De oppgir ikke hvem som er rammet, men understreker at alle berørte har mottatt varsel fra leverandøren direkte.
Det er andre gang i 2022 at Sophos Firewall har vært utsatt for aktive angrep med en nyoppdaget sårbarhet. Nokså likeartede CVE-2022-1040 ble oppdaget i mars.
Samme brannmur har vært under angrep også tidligere.