La entidad de seguridad Sophos, especializada en software y hardware para seguridad informática, ha optado por respaldar una actualización de seguridad para CVE-2022-3236 para las versiones de firmware de cortafuegos al final de su vida útil (EOL) tras descubrir que los piratas informáticos explotaban activamente el fallo en los ataques.
Este CVE se trata de un problema de inyección de código en el portal de usuarios y Webadmin de Sophos Firewall, que permite la ejecución remota de código, convirtiéndose en una vulnerabilidad sumamente crítica que puede afectar a las organizaciones que utilicen este tipo de firewalls.
Acerca del CVE-2022-3236
Se trata de una vulnerabilidad inyección de código derivado de una validación de entrada incorrecta en las interfaces del portal de usuario y Webadmin de Sophos Firewall. Puede ser explotado para la ejecución remota de código a través de una solicitud maliciosa. El problema afecta a Sophos Firewall v19.0 MR1 (19.0.1) y versiones anteriores.
En diciembre de 2022, Sophos publicó parches de seguridad para solucionar siete vulnerabilidades de la versión 19.5 de Sophos Firewall, incluidos algunos fallos de ejecución arbitraria de código. El problema más grave abordado por el proveedor de seguridad es el fallo CVE-2022-3236.
«Se ha descubierto una vulnerabilidad de inyección de código que permite la ejecución remota de código en el Portal de usuario y Webadmin», menciona el aviso generado por la entidad.
En septiembre Sophos advirtió de esta vulnerabilidad crítica de seguridad de inyección de código (CVE-2022-3236) que afectaba a su producto Firewall y que estaba siendo explotada in the wild.
A continuación, se presenta la línea temporal de eventos relacionados a este fallo de seguridad:
| Fecha | Evento |
| 16 de septiembre de 2022 | Se descubre la vulnerabilidad. |
| 20-21 de septiembre de 2022 | Se contacta con los clientes afectados. |
| 21-23 de septiembre de 2022 | Vulnerabilidad corregida |
| 23 de septiembre de 2022 | Se publica un aviso de seguridad. |
| 27 de noviembre de 2023 | Se identifica un nuevo exploit |
| 6-11 de diciembre de 2023 | Vulnerabilidad corregida |
| 11 de diciembre de 2023 | Actualización del aviso de seguridad |
Mitigación y Recomendaciones
Si se ha desactivado la opción de actualización automática de las revisiones, se recomienda fuertemente activarla de manera inmediata.
Como alternativa, actualice manualmente a una de las siguientes versiones de Sophos Firewall, que abordan el CVE-2022-3236:
- v19.0 GA, MR1 y MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3 y MR4
- v18.0 MR3, MR4, MR5 y MR6
- v17.5 MR12, MR13, MR14, MR15, MR16 y MR17
- v17.0 MR10
- v19.0 GA, MR1 y MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3 y MR4
- v17.0 MR10
Si utiliza una versión aún más antigua de Sophos Firewall, le recomendamos que actualice a una de las versiones indicadas anteriormente.
En los casos en los que la actualización sea imposible, la solución recomendada es restringir el acceso WAN al Portal de usuario y Webadmin siguiendo estas instrucciones y, en su lugar, utilizar VPN o Sophos Central para el acceso y la gestión remotos.
Es crucial que las organizaciones se mantengan alerta y tomen las medidas necesarias para proteger sus sistemas y datos de posibles ataques.
Referencia:
https://www.securityweek.com/sophos-patches-eol-firewalls-against-exploited-vulnerability/
