El lunes la empresa de ciberseguridad Sophos ha publicado un parche que soluciona una vulnerabilidad crítica, la cual está siendo explotada de manera activa, esta permite al atacante ejecutar de manera remota código malicioso sobre el portal de autenticación de usuario a nivel de firewall y el acceso web de administración, dicho comportamiento fue detectado por un investigador externo, el cual informó a la entidad del hallazgo a través del programa de pago por identificación de errores que esta maneja.

La vulnerabilidad ha sido registrada bajo el CVE-2022-1040 con una calificación de 9.8/10 según CVSS, esta genera afectaciones sobre las versiones de firewall 18.5 MR3 y anteriores, como se mencionó anteriormente un atacante con acceso al portal de autenticación a nivel de firewall y/o al portal de acceso web de administración puede explotar la vulnerabilidad eludiendo el método tradicional de autenticación, lo que le permite realizar la ejecución de código malicioso sobre la herramienta.

Logo Sophos

Según lo informado por Sophos el parche que soluciona el inconveniente se instalara de manera automática en las maquinas que se encuentran afectadas, si estas tienen activa la opción de “permitir instalaciones automáticas”, en caso de que dicha opción no se encuentre habilitada Sophos sugiere retirar la publicación de los portales de autenticación, para restringir el acceso a los posibles atacantes, mientras se aplica la modificación en los permisos de instalación automática y se realiza el parcheo del firewall. Hasta el momento Sophos ha identificado que los intentos de explotación de la vulnerabilidad se han realizado en algunas empresas ubicadas en el sur de Asia, pero hizo énfasis en la necesidad de que todas las entidades que actualmente manejen sus productos afectados los actualicen para evitar afectaciones.

Login Firewall Sophos

Recomendaciones 

  • Verificar si el firewall tiene activos los permisos de instalaciones automáticas, en caso de que estos no se encuentren activos, modificarlos para que la maquina pueda ser parcheada.
  • Deshabilitar el acceso público a los portales de autenticación.
  • Establecer el uso de VPN para alcanzar los portales de autenticación, esto con el fin de permitir el acceso a la herramienta únicamente al personal de la empresa.

Para más información puede consultar las siguientes fuentes asociadas a la noticia:

Fabian Caballero Cyber Intelligence Engineer