La société de logiciels de sécurité Sophos a mis en garde contre les cyberattaques ciblant une vulnérabilité critique récemment corrigée dans son produit de pare-feu.
Le problème, suivi comme CVE-2022-3236 (score CVSS : 9,8), impacte Sophos Firewall v19.0 MR1 (19.0.1) et versions antérieures et concerne une vulnérabilité d’injection de code dans les composants User Portal et Webadmin qui pourrait entraîner l’exécution de code à distance.
L’entreprise a dit il « a observé que cette vulnérabilité était utilisée pour cibler un petit ensemble d’organisations spécifiques, principalement dans la région de l’Asie du Sud », ajoutant qu’il avait directement notifié ces entités.
Comme solution de contournement, Sophos recommande aux utilisateurs de prendre des mesures pour s’assurer que le portail utilisateur et Webadmin ne sont pas exposés au WAN. Alternativement, les utilisateurs peuvent mettre à jour vers la dernière version prise en charge –
- v19.5 GA
- v19.0 MR2 (19.0.2)
- v19.0 GA, MR1 et MR1-1
- v18.5 MR5 (18.5.5)
- v18.5 GA, MR1, MR1-1, MR2, MR3 et MR4
- v18.0 MR3, MR4, MR5 et MR6
- v17.5 MR12, MR13, MR14, MR15, MR16 et MR17
- v17.0 MR10
Les utilisateurs exécutant des versions plus anciennes de Sophos Firewall doivent effectuer une mise à niveau pour recevoir les dernières protections et les correctifs correspondants.
Ce développement marque la deuxième fois qu’une vulnérabilité de Sophos Firewall fait l’objet d’attaques actives en un an. Plus tôt en mars, une autre faille (CVE-2022-1040) a été utilisée pour cibler des organisations de la région de l’Asie du Sud.
Puis, en juin 2022, la société de cybersécurité Volexity a partagé plus de détails sur la campagne d’attaque, épinglant les intrusions sur une menace persistante avancée (APT) chinoise connue sous le nom de DriftingCloud.
Les appliances de pare-feu Sophos ont également déjà été attaquées pour déployer ce qu’on appelle le Cheval de Troie Asnarök dans le but de siphonner des informations sensibles.