Vulnérabilité d’exécution de code à distance dans Sophos Firewall

  • Auteur/autrice de la publication :
  • Post category:Alertes et Avis

Origine: bjCSIRT

Numéro: 2022/ALERTE/035

Date de l’alerte: 29/09/2022

APERÇU :

La vulnérabilité libellée CVE-2022-3236 est une vulnérabilité d’injection de code affectant le portail utilisateur et l’interface Webadmin de Sophos Firewall. L’exploitation de cette faille pourrait permettre à un attaquant distant d’exécuter du code arbitraire sur la solution.

DESCRIPTION :

La vulnérabilité CVE-2022-3236 est une vulnérabilité d’injection de code permettant l’exécution de code à distance qui a été découverte au niveau du portail utilisateur et de l’interface Webadmin de Sophos Firewall. Toutefois, elle a été corrigée.

Le fournisseur Sophos indique que cette vulnérabilité est activement exploitée dans le cadre d’attaques ciblées. Son exploitation pourrait permettre la compromission du système cible ; le score de sévérité CVSSv3 de la vulnérabilité est estimé à 9.8.

Aucune action de correction n’est requise pour les clients de Sophos Firewall dont la fonction « Allow automatic installation of hotfixes » est activée : le correctif est automatiquement appliqué par Sophos.

IMPACT :

  • Exécution de code arbitraire ;
  • Atteinte à l’intégrité du système ;

SYSTEMES AFFECTÉS

Les versions Sophos Firewall v19.0 MR1 (19.0.1) et antérieures.

MESURES À PRENDRE :

Il est fortement recommandé aux utilisateurs d’appliquer des mises à jour vers la dernière version fournie par Sophos.

Également, il faudrait :

  • désactiver l’accès WAN au portail utilisateur et à Webadmin en suivant les meilleures pratiques d’accès aux périphériques ;
  • utiliser plutôt un VPN et/ou Sophos Central (de préférence) pour l’accès et la gestion à distance.

REFERENCES :

Partagez sur vos réseaux.