Sophos Backports RCE (Ejecución remota de código) vuelve a su normal funcionamiento tras ataques en firewalls sin soporte.

La compañía de Sophos lanzó un respaldo de actualización de seguridad CVE-2022-3236 para versiones de firmware de firewalls para el final de vida (EOL) después de descubrir una brecha de vulnerabilidad donde hackers explotaban activamente un problema de inyección de código en el Portal de usuario y de Webadmin del firewall de Sophos, esto permitiendo la ejecución del código remoto.

Este problema fue resuelto en septiembre del 2022 cuando se alertó sobre la explotación activa en la naturaleza, impactando en las versiones 19.0.1 en adelante, aunque se lanzó automáticamente el hotfix a los dispositivos con el fin de aceptar automáticamente las actualizaciones de seguridad por parte del vendedor, aun existían más de 4,000 dispositivos expuestos a internet , esto haciéndolos vulnerables a los ataques; la mayoría de estos equipos eran muy antiguos por lo que funcionaban con firmware al final de su vida útil y estos al ser antiguos el proceso se realizaba manualmente, por lo que se aplicaba el hotfix manualmente y ahí es en donde hackers aprovechaban esta brecha de vulnerabilidad.

En diciembre de 2023, “entregamos una solución actualizada después de identificar nuevos intentos de explotación contra esta misma vulnerabilidad en versiones más antiguas y sin apoyo del Sophos Firewall, desarrollamos un parche para ciertas versiones de firmware EOL, que se aplicó automáticamente al 99% de las organizaciones afectadas que tienen ‘aceptar hotfix’ encendidas.  por lo que recomendamos encarecidamente a las organizaciones que actualicen sus dispositivos y firmware EOL a las últimas versiones”, se lee en el boletín de seguridad actualizado.

¿Cómo protegerse?

Una forma de protegerse de atacantes externos, es asegurando el Portal de usuario y Webadmin no estén expuestos a una red WAN; desactivando el acceso WAN siguiendo las mejores practicas de acceso al dispositivo y en su lugar utilizar VPN y/o Sophos Central (preferentes) para el acceso y la gestión remota.

Así mismo, se recomienda actualizar los dispositivos y firmwares EOL a las últimas versiones, si la opción de actualización automática para los hotfixes ha sido deshabilitada, se recomienda habilitarlo y después verificar que el hotfix haya sido aplicado. Se puede basar de la siguiente guía.

Remediación

Sophos a solucionado este problema con parches (hotfix) para una lista de versiones, asegúrese de que está ejecutando una versión compatible; Los usuarios de versiones más antiguas de Sophos Firewall están obligados a actualizar para recibir las últimas protecciones, y esta solución.

Se emitieron Hotfixes para las siguientes versiones publicadas el 21 de septiembre de 2022:

• v19.0 GA, MR1 y MR1-1
• v18.5 GA, MR1, MR1-1, MR2, MR3, y MR4

Tambien para:

versiones publicadas el 23 de septiembre de 2022:

• v18.0 MR3, MR4, MR5 y MR6
• v17.5 MR12, MR13, MR14, MR15, MR16 y MR17
• v17.0 MR10

versiones publicadas el 6 de diciembre de 2023:

• v19.0 GA, MR1 y MR1-1

versiones publicadas el 8 de diciembre de 2023:

• v18.5 GA, MR1, MR1-1, MR2, MR3, y MR4

versiones publicadas el 11 de diciembre de 2023:

• v17.0 MR10

• Arreglo incluido en v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), v19.5 GA y superior