Sophos Firewall tiene una vulnerabilidad de alta gravedad que se está explotando activamente en la naturaleza, confirmó la compañía, instando a los administradores del sistema a aplicar el parche o la solución alternativa lo más rápido posible.
En un anuncio oficial, la empresa dijo que el actor de amenazas que abusa de la falla se enfoca en un tipo específico de empresas para sus víctimas.
«Sophos ha observado que esta vulnerabilidad se usa para apuntar a un pequeño conjunto de organizaciones específicas, principalmente en la región del sur de Asia», dijo Sophos. «Hemos informado a cada una de estas organizaciones directamente. Sophos proporcionará más detalles a medida que continuamos investigando».
Ejecución remota de código
La vulnerabilidad fue descubierta en el Portal de Usuario y Webadmin. Rastreada como CVE-2022-3236, la falla permite a los actores de amenazas ejecutar código de forma remota. La compañía ya ha lanzado una solución, que debería aplicarse automáticamente a la mayoría de los usuarios. De forma predeterminada, la función de actualizaciones automáticas está habilitada, por lo que, a menos que los administradores del sistema la desactiven deliberadamente, deberían estar bien.
Aquellos que deben prestar especial atención son aquellos que tienen la función desactivada o aquellos que usan versiones anteriores de Sophos Firewall. Estos necesitarían actualizar el software, primero.
Los administradores del sistema que no pueden aplicar el parche en este momento también pueden usar la solución alternativa, asegurándose de que el Portal de usuario y el administrador web no estén expuestos a la WAN.
«Desactive el acceso WAN al Portal de usuario y Webadmin siguiendo las mejores prácticas de acceso a dispositivos y, en su lugar, use VPN y/o Sophos Central (preferido) para el acceso y la administración remotos», dijo Sophos.
Esta es al menos la tercera vez este año que Sophos Firewall aparece en los titulares por razones equivocadas. En abril de este año, la compañía anunció la reparación de una falla que permitía a los actores de amenazas ejecutar de forma remota cualquier código, incluidos virus y malware, en un punto final. (se abre en una pestaña nueva) ejecutando su software de firewall y, a fines de junio, arregló CVE-2022-1040 (falla de omisión de autenticación que permite la ejecución de código arbitrario).
Vía: BleepingComputer (se abre en una pestaña nueva)