Ir al contenido
Avanet
Más de 4.000 Sophos Firewalls siguen afectados por la vulnerabilidad

Más de 4.000 Sophos Firewalls siguen afectados por la vulnerabilidad

Investigadores de seguridad de VulnCheck han constatado que muchos administradores de red de todo el mundo aún no han actualizado sus Sophos Firewalls. Encontraron alrededor de 88.000 firewalls accesibles desde Internet, de los cuales miles son vulnerables a una vulnerabilidad crítica.

El portal de usuario de aproximadamente 78.000 firewalls es accesible desde Internet y en 10.000 firewalls incluso es posible acceder al inicio de sesión de Web-Admin. A partir de la SFOS Version 18.0 MR3, el backend advierte activamente de ello.

Webadmin de firewalls Sophos
WebAdmin
Portal de usuario de firewalls Sophos
UserPortal

La vulnerabilidad se conoce desde septiembre de 2022; el hotfix y los parches de seguridad están disponibles desde diciembre. Los investigadores recomiendan a los administradores comprobar, además de la versión instalada, los archivos de log en busca de posibles indicios de compromiso.

Ya hemos informado en el pasado sobre vulnerabilidades en Sophos Firewall (cerrada la vulnerabilidad de inyección SQL en Sophos SFOS) y sobre las medidas que recomendamos para que no sea tan fácilmente accesible desde Internet.

La vulnerabilidad, conocida como CVE-2022-3236, permite a los atacantes ejecutar código malicioso y está clasificada como extremadamente crítica. Cuando Sophos anunció la vulnerabilidad en septiembre del año anterior, la empresa advirtió que ya se estaba explotando como Zero-Day. Sophos pidió a sus clientes instalar un hotfix y posteriormente un parche completo para evitar una infección.

Firewalls Sophos que utilizan versiones con un hotfix disponible
Firewalls Sophos con versiones para las que hay un hotfix disponible
Firewalls Sophos que utilizan versiones vulnerables
Firewalls Sophos con versiones vulnerables

Más del 99 por ciento de los Sophos Firewalls accesibles desde Internet no se han actualizado a versiones que contienen el parche oficial para CVE-2022-3236, escribe Jacob Baines, investigador de VulnCheck. Sin embargo, alrededor del 93% de los sistemas utilizan versiones para las que existe un hotfix, y el comportamiento predeterminado del firewall es descargar y aplicar hotfixes automáticamente (salvo que un administrador lo haya desactivado). Es probable que casi todos los firewalls aptos para un hotfix lo hayan recibido.

Esto significa que todavía más de 4.000 firewalls (aproximadamente el 6% de los Sophos Firewalls expuestos a Internet) ejecutan versiones que no han recibido un hotfix y, por tanto, siguen siendo vulnerables. La empresa de seguridad VulnCheck lo cifra en torno al 6% de todos los Sophos Firewalls, basándose en datos de una búsqueda en Shodan.

Así que descargue Sophos Firewall Version 19.5, instálela y compruebe si el hotfix se instaló automáticamente.

Patrizio

Patrizio

Patrizio es un especialista de redes con amplia experiencia, centrado en firewalls Sophos, switches y puntos de acceso. Ayuda a clientes y equipos de TI con la configuracion, la migracion y una segmentacion de red limpia.