- Sophos zegt dat het drie fouten in zijn firewallproduct heeft gevonden en gerepareerd
- De tekortkomingen maakten RCE- en privilege-escalatie mogelijk
- Degenen die de patch niet kunnen toepassen, kunnen een oplossing gebruiken
Sophos heeft onlangs drie bugs in zijn Firewall-product ontdekt en gepatcht, en heeft, gezien de ernst, er bij gebruikers op aangedrongen de oplossingen zo snel mogelijk toe te passen. Degenen die dat niet kunnen, wordt geadviseerd om op zijn minst de voorgestelde mitigatieoplossingen toe te passen.
Een beveiligingsadvies van het bedrijf merkt op dat de drie kwetsbaarheden kunnen worden misbruikt voor het uitvoeren van code op afstand, geprivilegieerde systeemtoegang en meer. Twee van de tekortkomingen kregen een kritische ernstscore (9,8), terwijl de derde een hoge ernstscore had (8,8).
Er werd gezegd dat meerdere versies van de Sophos Firewall getroffen zijn, hoewel verschillende versies vatbaar lijken te zijn voor verschillende fouten. Toch dringt het bedrijf er bij alle gebruikers op aan om hun eindpunten naar de nieuwste versie te brengen en te voorkomen dat ze worden getarget.
Oplossing mogelijk
Ook de patching verschilt, afhankelijk van de kwetsbaarheid in kwestie. Voor CVE-2024-12727 moeten gebruikers Apparaatbeheer starten, naar Advanced Shell navigeren vanuit de Sophos Firewall-console en de opdracht „cat /conf/nest_hotfix_status“ uitvoeren.
Voor de overige twee fouten moeten gebruikers Device Console starten vanaf de Sophos Firewall-console en de opdracht „system diagnostic showversion-info“ uitvoeren.
Gebruikers die de patch niet kunnen toepassen, moeten op zijn minst de voorgestelde oplossing toepassen, waaronder het beperken van SSH-toegang tot alleen de speciale HA-link die fysiek gescheiden is. Bovendien moeten gebruikers HA opnieuw configureren met een voldoende lange en willekeurige aangepaste wachtwoordzin.
Ten slotte kunnen ze WAN-toegang via SSH uitschakelen en ervoor zorgen dat de gebruikersportal en Webadmin niet worden blootgesteld aan WAN.
Meer details over de bugs, inclusief de CVE’s, zijn te vinden op deze koppeling.
Firewalls zijn belangrijke doelwitten bij cyberaanvallen omdat ze fungeren als de belangrijkste poortwachters tussen interne netwerken en externe bedreigingen, waardoor ze cruciale verdedigingspunten zijn voor gevoelige gegevens en systemen.
Het compromitteren van een firewall kan aanvallers bevoorrechte toegang tot een netwerk geven, waardoor beveiligingscontroles worden omzeild en het hele systeem wordt blootgesteld aan verdere uitbuiting. Bovendien bevatten firewalls vaak waardevolle configuratiegegevens en toegangsgegevens, die aanvallers kunnen gebruiken om hun aanvallen te escaleren of permanente toegang te behouden.
Via Het hackernieuws