Компания Sophos выпустила обновление для своего продукта брандмауэра после того, как было обнаружено, что злоумышленники используют новую критическую уязвимость нулевого дня для атак на сети своих клиентов.
Ошибка, отслеживаемая как CVE-2022-3236 (рейтинг CVSS: 9.8), затрагивает Sophos Firewall v19.0 MR1 (19.0.1) и старше и касается уязвимости инъекции кода в компонентах User Portal и Webadmin, которая может привести к удаленному выполнению кода.
Компания заявила, что «наблюдала использование этой уязвимости для атак на небольшой набор конкретных организаций, в основном в регионе Южной Азии», добавив, что она напрямую уведомила эти организации.
В качестве обходного пути, Sophos рекомендует пользователям предпринять шаги для обеспечения того, чтобы портал пользователя и Webadmin не выходили в глобальную сеть. В качестве альтернативы, пользователи могут обновиться до последней поддерживаемой версии -
- v19.5 GA
- v19.0 MR2 (19.0.2)
- v19.0 GA, MR1 и MR1-1
- v18.5 MR5 (18.5.5)
- v18.5 GA, MR1, MR1-1, MR2, MR3 и MR4
- v18.0 MR3, MR4, MR5 и MR6
- v17.5 MR12, MR13, MR14, MR15, MR16 и MR17
- v17.0 MR10
Пользователям, использующим более старые версии Sophos Firewall, необходимо обновиться, чтобы получить новейшие средства защиты и соответствующие исправления.
Это событие знаменует собой второй случай, когда уязвимость Sophos Firewall подвергается активным атакам в течение года. Ранее в марте этого года другой баг (CVE-2022-1040) был использован для атак на организации в Южной Азии.
Затем в июне 2022 года компания Volexity, занимающаяся кибербезопасностью, поделилась более подробной информацией о кампании кибератак, возложив ответственность за вторжения на китайскую хакерскую группировку DriftingCloud.
Межсетевые экраны Sophos также ранее подвергались атакам с целью внедрения так называемого трояна Asnarök для перехвата конфиденциальной информации.
Источник: https://thehackernews.com