Sophos a été contraint de rétroporter une mise à jour de sécurité pour CVE-2022-3236 pour les versions de micrologiciel de pare-feu en fin de vie (EOL) après avoir découvert que des pirates informatiques exploitaient activement la faille dans les attaques.
La faille est un problème d’injection de code dans le portail utilisateur et Webadmin de Sophos Firewall, permettant l’exécution de code à distance.
Sophos a résolu le problème de sécurité en septembre 2022 en mettant en garde contre une exploitation active dans la nature, affectant les versions 19.0.1 et antérieures.
Bien que le correctif ait été automatiquement déployé sur les appareils configurés pour accepter automatiquement les mises à jour de sécurité par le fournisseur, en janvier 2023, plus de 4 000 appareils exposés à Internet restaient vulnérables aux attaques.
Beaucoup de ces appareils étaient des appareils plus anciens exécutant un micrologiciel en fin de vie qui devaient appliquer des mesures d’atténuation ou appliquer manuellement le correctif, et les pirates ont profité de cette lacune.
« En décembre 2023, nous avons fourni un correctif mis à jour après avoir identifié de nouvelles tentatives d’exploitation contre cette même vulnérabilité dans les anciennes versions non prises en charge du pare-feu Sophos », lit-on dans le bulletin de sécurité mis à jour.
« Nous avons immédiatement développé un correctif pour certaines versions du micrologiciel EOL, qui a été automatiquement appliqué aux 99 % des organisations concernées pour lesquelles l’option « accepter le correctif » est activée.
« Les attaquants recherchent généralement des appareils et des micrologiciels EOL auprès de n’importe quel fournisseur de technologie. Nous recommandons donc fortement aux organisations de mettre à niveau leurs appareils et micrologiciels EOL vers les dernières versions. »
Si l’option de mise à jour automatique des correctifs a été désactivée, il est recommandé de l’activer, puis de suivre ce guide pour vérifier que le correctif a été appliqué.
Vous pouvez également effectuer une mise à jour manuelle vers l’une des versions suivantes de Sophos Firewall, qui corrige CVE-2022-3236 :
- v19.0 GA, MR1, and MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
- v18.0 MR3, MR4, MR5, and MR6
- v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
- v17.0 MR10
- v19.0 GA, MR1, and MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
- v17.0 MR10
Si vous utilisez une version encore plus ancienne de Sophos Firewall, il est conseillé de mettre à niveau vers l’une des versions répertoriées ci-dessus.
Dans les cas où la mise à jour est impossible, la solution de contournement recommandée consiste à restreindre l’accès WAN au portail utilisateur et à Webadmin en suivant ces instructions et à utiliser plutôt VPN ou Sophos Central pour l’accès et la gestion à distance.