LOGG INN[JustisCERT-varsel] [#063-2022] [TLP:CLEAR] Kritisk sårbarhet i Sophos Firewall
JustisCERT ønsker å varsle om en kritisk sårbarhet publisert 23. september 2022, CVE-2022-3236 med CVSS-score 9.8, som berører Sophos Firewall. Sårbarheten berører påloggingstjenestene «User portal» og «Webadmin». Dersom «User portal» eller «Webadmin» er gjort tilgjengelig, f.eks. fra internett, kan en uautentisert angriper fjernkjøre kode på en berørt enhet. Sophos opplyser at sårbarheten er observert aktivt utnyttet.
Sophos har publisert nødvendige oppdateringer og mitigerende tiltak for støttende produkter. Se Sophos sin nettside for flere detaljer om sårbarheten og berørte produkter. [1]
Berørte produkter er blant annet:
- Sophos Firewall < v19.5.0
- Sophos Firewall < v19.0.2
- Sophos Firewall < v18.5.5
Anbefalinger:
- Patch/oppdater berørte produkter
- Skru på automatisk oppdatering der det er mulig
- Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Bruk multifactor authentication (MFA) på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/Web-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Følg NSM Grunnprinsipper for IKT-sikkerhet [2]
- Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [3]
Kilder:
[1] https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
[2] https://nsm.no/grunnprinsipper-ikt
[3] https://www.cisa.gov/shields-up