Güvenlik yazılımı şirketi Sophos, güvenlik duvarı ürününde yakın zamanda ele alınan kritik bir güvenlik açığını hedef alan siber saldırılar konusunda uyardı.
Sorun, şu şekilde izlendi: CVE-2022-3236 (CVSS puanı: 9.8), Sophos Firewall v19.0 MR1 (19.0.1) ve daha eski sürümleri etkiler ve Kullanıcı Portalı ve Webadmin bileşenlerinde uzaktan kod yürütülmesine neden olabilecek bir kod yerleştirme güvenlik açığı ile ilgilidir.
Şirket söz konusu “Bu güvenlik açığının, başta Güney Asya bölgesinde olmak üzere küçük bir dizi belirli kuruluşu hedef almak için kullanıldığını gözlemlediğini” sözlerine ekledi ve bu kuruluşlara doğrudan bildirimde bulundu.
Sophos, geçici bir çözüm olarak, kullanıcıların Kullanıcı Portalı ve Webadmin’in WAN’a maruz kalmamasını sağlamak için adımlar atmalarını tavsiye ediyor. Alternatif olarak, kullanıcılar desteklenen en son sürüme güncelleme yapabilir –
- v19.5 GA
- v19.0 MR2 (19.0.2)
- v19.0 GA, MR1 ve MR1-1
- v18.5 MR5 (18.5.5)
- v18.5 GA, MR1, MR1-1, MR2, MR3 ve MR4
- v18.0 MR3, MR4, MR5 ve MR6
- v17.5 MR12, MR13, MR14, MR15, MR16 ve MR17
- v17.0 MR10
Sophos Güvenlik Duvarı’nın eski sürümlerini çalıştıran kullanıcıların, en son korumaları ve ilgili düzeltmeleri almak için yükseltme yapmaları gerekir.
Bu gelişme, bir Sophos Güvenlik Duvarı güvenlik açığının bir yıl içinde ikinci kez aktif saldırılara maruz kalmasına işaret ediyor. Bu Mart ayının başlarında, Güney Asya bölgesindeki kuruluşları hedef almak için başka bir kusur (CVE-2022-1040) kullanıldı.
Ardından Haziran 2022’de siber güvenlik firması Volexity, saldırı kampanyasının daha fazla ayrıntısını paylaştı ve izinsiz girişleri DriftingCloud olarak bilinen bir Çin gelişmiş kalıcı tehdidine (APT) sabitledi.
Sophos güvenlik duvarı cihazları, daha önce asnarök truva atı hassas bilgileri sifonlamak amacıyla.