La compañía de software de seguridad Sophos advirtió sobre ataques cibernéticos dirigidos a una vulnerabilidad crítica recientemente abordada en su producto de firewall.
El problema, rastreado como CVE-2022-3236 (puntuación CVSS: 9,8), afecta a Sophos Firewall v19.0 MR1 (19.0.1) y versiones anteriores y se refiere a una vulnerabilidad de inyección de código en los componentes del Portal de usuario y Webadmin que podría provocar la ejecución remota de código.
La empresa dijo «ha observado que esta vulnerabilidad se usa para apuntar a un pequeño conjunto de organizaciones específicas, principalmente en la región del sur de Asia», y agregó que notificó directamente a estas entidades.
Como solución alternativa, Sophos recomienda que los usuarios tomen medidas para asegurarse de que el Portal de usuario y Webadmin no estén expuestos a la WAN. Alternativamente, los usuarios pueden actualizar a la última versión compatible:
- v19.5 disponibilidad general
- v19.0 MR2 (19.0.2)
- v19.0 GA, MR1 y MR1-1
- v18.5 MR5 (18.5.5)
- v18.5 GA, MR1, MR1-1, MR2, MR3 y MR4
- v18.0 MR3, MR4, MR5 y MR6
- v17.5 MR12, MR13, MR14, MR15, MR16 y MR17
- v17.0 MR10
Los usuarios que ejecutan versiones anteriores de Sophos Firewall deben actualizar para recibir las protecciones más recientes y las correcciones pertinentes.
El desarrollo marca la segunda vez que una vulnerabilidad de Sophos Firewall ha sido objeto de ataques activos en un año. A principios de marzo, se utilizó otra falla (CVE-2022-1040) para apuntar a organizaciones en la región del sur de Asia.
Luego, en junio de 2022, la firma de seguridad cibernética Volexity compartió más detalles de la campaña de ataque, atribuyendo las intrusiones a una amenaza persistente avanzada (APT) china conocida como DriftingCloud.
Los dispositivos de firewall de Sophos también han sido atacados anteriormente para implementar lo que se denomina Troyano Asnarök en un intento de desviar información confidencial.