Хакер #305. Многошаговые SQL-инъекции
Разработчики Sophos предупредили, что RCE-уязвимость, связанная с Sophos Firewall, уже активно используется в атаках.
Свежая уязвимость имеет идентификатор CVE-2022-1040 и по шкале CVSS оценивается как критическая (9,8 балла из 10 возможных). Сообщается, что баг позволяет удаленным злоумышленникам обходить аутентификацию через пользовательский портал брандмауэра или через веб-админку, а затем выполнять произвольный код.
Уязвимость была обнаружена анонимным исследователем, который сообщил о ней через официальную программу bug bounty и заявил, что проблема влияет на Sophos Firewall 18.5 MR3 (18.5.3) и более ранние версии.
Об атаках с использованием этой проблемы пока известно немного: производитель сообщает, что баг преимущественно эксплуатируют в атаках против целей из Южной Азии.
«Sophos обнаружила, что эта уязвимость используется для атак на небольшой пул организаций, главным образом в Южной Азии. Мы проинформировали каждую из этих организаций напрямую. Sophos предоставит дополнительную информацию по мере продолжения расследования», — заявили в компании.
Sophos исправила уязвимость в нескольких версиях брандмауэра, включая 17.0, 17.5, 18.0 и 18.5. Кроме того, Sophos включила патчи в версии 19 и 18.5 MR4, а также исправления были выпущены для Sophos Firewall версий 17.5 MR12–MR15, 18.0 MR3 и MR4, а также 18.5 GA, которые уже устарели, и чья поддержка уже была прекращена.