NÓNG: Lỗ hổng nghiêm trọng trong Sophos Firewall cho phép thực thi mã từ xa

WhiteHat Team

Administrators
Thành viên BQT
09/04/2020
93
600 bài viết
NÓNG: Lỗ hổng nghiêm trọng trong Sophos Firewall cho phép thực thi mã từ xa
Cập nhật ngày 2/4/2022

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) hôm thứ Năm đã yêu cầu các cơ quan liên bang vá lỗ hổng CVE-2022-1040 trong Sophos Firewall cùng bảy lỗ hổng khác trong vòng 3 tuần tới, tất cả đều đang bị khai thác trong thực tế.
------------------------------------------------------------
Sophos vừa vá một lỗ hổng nghiêm trọng trong sản phẩm Sophos Firewall cho phép thực thi mã từ xa (RCE). Lỗ hổng này do một nhà nghiên cứu giấu tên báo cáo thông qua chương trình Bug Bounty của hãng.

Có mã định danh CVE-2022-1040, điểm CVSS 9.8 (version 3.x), đây là lỗi vượt qua xác thực tồn tại trong User Portal và Webadmin của Sophos Firewall. Công ty cho biết thêm trong công bố được sửa đổi ngày 28 tháng 3: "Chúng tôi đã quan sát thấy lỗ hổng này đang bị khai thác trong thực tế, được sử dụng để nhắm mục tiêu vào số ít các tổ chức chủ yếu ở khu vực Nam Á và đã thông báo trực tiếp cho từng tổ chức này".

Theo thống kê của WhiteHat, hiện trên thế giới có khoảng 300.000 thiết bị Sophos Firewall, trong đó Việt Nam có gần 1.000 thiết bị đang tồn tại lỗ hổng. Giá của mỗi thiết bị hiện nay từ 500 đô la trở lên (tương đương 11.327.000 VNĐ) nên không ngạc nhiên khi con số thiết bị Sophos Firewall bị tấn công sẽ gia tăng trong thời gian tới.

whitehat-55.jpg

Lỗi RCE trong bảng điều khiển quản trị web

Lỗi này ảnh hưởng đến các phiên bản Sophos Firewall từ 18.5 MR3 (18.5.3) trở về trước, cho phép kẻ tấn công từ xa có thể truy cập vào User Portal của tường lửa hoặc giao diện Webadmin để vượt qua xác thực và thực thi mã tùy ý.

Để giải quyết lỗ hổng này, Sophos đã phát hành các bản sửa lỗi khẩn cấp (hotfix), theo mặc định sẽ tự động cập nhật trong hầu hết các trường hợp. Sophos giải thích trong khuyến cáo an ninh của mình: "Khách hàng của Sophos Firewall không cần thực hiện thao tác nào vì tính năng 'Allow automatic installation of hotfixes' (Cho phép cài đặt tự động các bản sửa lỗi khẩn cấp) đã được bật mặc định. Người dùng các phiên bản Sophos Firewall cũ hơn được yêu cầu nâng cấp ngay để nhận giải pháp bảo vệ mới nhất và bản vá cho lỗi này.

whitehat-46.jpg

Tuy nhiên, khuyến cáo an ninh cũng đề cập đến việc một số phiên bản cũ hơn và các sản phẩm đã không còn được hỗ trợ (end-of-life) có thể cần phải được cập nhật thủ công. Cụ thể một công ty bảo mật phần mềm của Anh cho biết các phiên bản end-of-life không được hỗ trợ từ 17.5 MR12 đến MR15, 18.0 MR3 và MR4 và 18.5 GA, cho thấy mức độ nghiêm trọng của lỗ hổng này gây ra.

Nhằm giảm thiểu ảnh hưởng của lỗ hổng, Sophos khuyến cáo khách hàng cẩn đảm bảo giao diện User Portal và Webadmin của mình an toàn. Cụ thể:
  • Khách hàng có thể tự bảo vệ mình khỏi các cuộc tấn công bằng cách đảm bảo User Portal và Webadmin không để lộ ra ngoài mạng WAN (Wide Area Network).
  • Tắt quyền truy cập WAN đến User Portal và Webadmin bằng cách tuân theo các phương pháp tốt nhất để truy cập đến thiết bị và thay vào đó sử dụng VPN và/hoặc Sophos Central để truy cập và quản lý từ xa.
Vừa qua Sophos cũng đã giải quyết hai lỗ hổng nghiêm trọng là CVE-2022-0386 và CVE-2022-0652 ảnh hưởng đến các thiết bị Sophos UTM (Unified Threat Management).

Các lỗ hổng Sophos Firewall đã từng bị khai thác

Đầu năm 2020, Sophos đã vá một lỗ hổng zero-day tiêm nhiễm SQL trong XG Firewall sau khi được báo cáo tin tặc đang tích cực khai thác. Từ tháng 4 năm 2020, kẻ tấn công đứng sau phần mềm độc hại trojan Asnarök đã khai thác zero-day để cố gắng đánh cắp tên người dùng firewall và mật khẩu đã được băm từ các phiên bản tường lửa XG tồn tại lỗ hổng.

Lỗi zero-day tương tự cũng đã bị tin tặc khai thác khi lây nhiễm mã độc tống tiền Ragnarok vào hệ thống Windows của các công ty. Do đó, người dùng Sophos Firewall nên đảm bảo rằng sản phẩm được cập nhật phiên bản mới nhất. Trang web hỗ trợ của Sophos đã hướng dẫn cách bật cài đặt hotfix tự động và xác minh hotfix cho CVE-2022-1040 thành công. Sau khi thiết lập bật hotfix tự động, Sophos Firewall sẽ kiểm tra các bản hotfix 30 phút/lần và sau mỗi lần khởi động lại.

Nguồn: Tổng hợp
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
cve-2022-1040 lỗ hổng sophos firewall rce sophos firewall user portal webadmin
Bên trên