Environ 4 000 firewalls Sophos vulnérables à une faille de sécurité critique !

Patchée en septembre 2022, la vulnérabilité CVE-2022-3236 affecte les firewalls Sophos et permet à un attaquant d’exécuter du code à distance sur l’équipement, à partir du moment où ce dernier est exposé sur Internet. À ce jour, il y aurait encore environ 4 000 firewalls Sophos vulnérables !

Plusieurs mois après la sortie du bulletin de sécurité de Sophos et la mise à disposition du correctif, certains firewalls Sophos restent vulnérables à la faille de sécurité CVE-2022-3236. Une mauvaise nouvelle pour les organisations concernées quand on sait que cette faille de sécurité a été exploitée dans le cadre de cyberattaques, notamment dans le Sud de l’Asie.

Initialement, Sophos a déployé ce correctif sous la forme d’un hotfix, ce qui signifie qu’il se déploie automatiquement sur les firewalls Sophos où l’option est activée. C’est le cas par défaut, mais l’administrateur a la possibilité de modifier cette configuration.

Plus précisément le correctif a été déployé automatiquement sur les versions v19.0 MR1, 19.0.1 et antérieures. En ce qui concerne les firewalls Sophos exécutant des versions antérieures, il est nécessaire de mettre à niveau manuellement le système dans le but de pouvoir recevoir le hotfix de façon automatique. In fine, cela permet d’être protégé contre la faille de sécurité CVE-2022-3236.

Cette faille de sécurité permet d’exécuter du code à distance sur l’équipement Sophos et elle est exploitable au travers de deux portails : User Portal et Webadmin. À partir du moment où ces portails sont accessibles depuis l’interface WAN du firewall et que votre appareil n’a pas le correctif, vous êtes vulnérable.

Et des firewalls Sophos vulnérables à cette faille de sécurité, il y en a encore beaucoup ! Jacob Baines de chez VulnCheck a effectué un scan sur Internet à la recherche de firewalls Sophos. Résultat, il en a détecté 88 000 et sur ce total, il y en a environ 6% soit à peu près 4 000 firewalls, qui exécutent une version du système qui n’a pas reçu le correctif pour la faille CVE-2022-3236.

Pour le moment, il n’y a pas d’exploit public au sujet de la vulnérabilité CVE-2022-3236, mais jusqu’à quand ? Cela semble est d’autant plus plausible que, car Jacob Baines a pu reproduire l’exploit en s’appuyant sur des informations partagées par la Zero Day Initiative ! Vous pouvez retrouver le rapport complet et très intéressant sur cette page.

En résumé : Sophos a fait le nécessaire depuis septembre dernier au sujet de cette faille de sécurité, donc mettez à jour maintenant pour éviter d’utiliser une version obsolète et pour vous protéger contre cette faille de sécurité.