Clicky

Hackers explotan activamente nueva vulnerabilidad RCE de Sophos Firewall

Sophos firewall

Se usa para apuntar a un pequeño conjunto de organizaciones específicas

La compañía de software de seguridad Sophos advirtió sobre ataques cibernéticos dirigidos a una vulnerabilidad crítica recientemente abordada en su producto de firewall.

El problema, registrado como CVE-2022-3236 (puntuación CVSS: 9,8), afecta a Sophos Firewall v19.0 MR1 (19.0.1) y versiones anteriores y se refiere a una vulnerabilidad de inyección de código en los componentes User Portal y Webadmin que podrían resultar en la ejecución remota de código.

La compañía dijo que "ha observado que esta vulnerabilidad se usa para apuntar a un pequeño conjunto de organizaciones específicas, principalmente en la región del sur de Asia", y agregó que notificó directamente a estas entidades.

Como solución alternativa, Sophos recomienda que los usuarios tomen medidas para asegurarse de que el Portal de usuario y Webadmin no estén expuestos a la WAN. Alternativamente, los usuarios pueden actualizar a la última versión compatible.

Los usuarios que ejecutan versiones anteriores de Sophos Firewall deben actualizar para recibir las protecciones más recientes y las correcciones pertinentes.

El desarrollo marca la segunda vez que una vulnerabilidad de Sophos Firewall ha sido objeto de ataques activos en un año. A principios de marzo, se utilizó otra falla (CVE-2022-1040) para apuntar a organizaciones en la región del sur de Asia.

Luego, en junio de 2022, la firma de seguridad cibernética Volexity compartió más detalles de la campaña de ataque, atribuyendo las intrusiones a una amenaza persistente avanzada (APT) china conocida como DriftingCloud.

Los dispositivos de firewall de Sophos también han sido atacados anteriormente para implementar lo que se llama el troyano Asnarök en un intento de desviar información confidencial.