Sophos اعلام کرد که سوء استفاده از آسیبپذیری فایروال حیاتی، در حال حاضر زیر مجموعه بسیار کوچکی از سازمانها را که عمدتاً در جنوب آسیا واقع شدهاند، تحت تأثیر قرار داده است.
تاریخ انتشار: 26 سپتامبر 2022
عوامل تهدید با استفاده از یک باگ مهم جدید در محصولات فایروال سوفوس سازمانها را مورد هدف قرار میدهند.
Sophos این نقص را که با نام CVE-2022-3236 شناخته میشود، روز جمعه با یک هشدار امنیتی فاش کرد. شرکت EDR آن را به عنوان یک باگ تزریق کد که قادر به اجرای کد از راه دور است توصیف کرد و آن را بحرانی نامید.
اگرچه این نقص برطرف شده است، اما سوفوس در بیانات خود اذعان کرد که سوءاستفاده هایی را علیه مجموعه کوچکی از سازمانهای خاص عمدتاً در جنوب آسیا مشاهده کرده است.
Sophos هفته گذشته برای رفع آسیبپذیری zero-day ا، Hotfix هایی را منتشر کرد. این شرکت اعلام کرد مشتریانی که بهروزرسانی خودکار را فعال کردهاند، نیاز به انجام هیچ اقدام دیگری ندارند.
فایروال سوفوس نسخه 19.0 و بالاتر آسیبپذیر در نظر گرفته میشوند. همچنین این هشدار شامل راهحلی است که دسترسی WAN به پورتال کاربر و کنسول مدیریت وب برای فایروالهای Sophos را غیرفعال میکند.
سخنگوی سوفوس در پاسخ به سوالی درباره جزئیات بیشتر در مورد دامنه سوء استفاده، گفت که این سوء استفاده زیر مجموعه بسیار کوچکی از سازمانها را تحت تاثیر قرار داده است و هنوز در حال بررسی است. وی ادامه داد: در این مواقع، سرعت در رفع و افشای مسئولانه امری ضروری است.
Immanuel Chavoya ، محقق تهدید روز جمعه در توییتی نوشت که فکر میکند این نقص به دلیل آسیبپذیری تزریق کد، شانس بالایی برای سوء استفاده دارد.
CVE-2022-3236 اولین آسیبپذیری فایروال سوفوس نیست که در حین سوء استفاده فعال فاش میشود. در سال 2020، Sophos یک باگ تزریق SQL در zero-day را فاش کرد که فایروال Sophos XG را تحت تأثیر قرار داد. همانند نقض اخیر، CVE-2020-12271 قادر به اجرای کد از راه دور بود.