เมนู

พบ !! ช่องโหว่ Zero-Day (RCE)
ในอุปกรณ์ Sophos Firewall

Sophos FULL

Sophos ได้ออกแพตช์อัพเดตอุปกรณ์ไฟร์วอล์ หลังพบช่องโหว่ Zero-Day เพื่อใช้โจมตีเครือข่ายของลูกค้าบริษัท

26 กันยายน 2565

จากปัญหาช่องโหว่ CVE-2022-3236 (CVSS: 9.8) ส่งผลกระทบต่ออุปกรณ์ไฟร์วอล์ในเวอร์ชั่น v19.0 MR1 (19.0.1) และเวอร์ชั่นที่เก่ากว่า ที่เกี่ยวข้องกับการแทรกโค้ดการใช้งานในส่วนของ User Portal และ Webadmin ที่อาจส่งผลให้เกิดการเรียกใช้โค้ดจากระยะไกลได้ remote code execution (RCE)

ลูกค้าของทางบริษัทไม่จำเป็นต้องดำเนินการใดๆ เพิ่มเติม เพียงเปิดใช้งานให้ ‘อนุญาตการติดตั้งโปรแกรมแก้ไขอัตโนมัติ ‘ สำหรับเวอร์ชั่นที่ได้รับการแก้ไขแล้ว และกำหนดค่าให้เป็นค่าเริ่มต้น

User Portal อินเทอร์เฟซ Sophos Firewall

ทางบริษัทพบว่าช่องโหว่ที่เกิดขึ้นนี้ถูกกำหนดเป้าหมายกลุ่มองค์กรเล็กๆ โดยเฉพาะในภูมิภาคเอเชียใต้ และได้มีการแจ้งองค์กรเหล่านี้โดยตรงเพื่อเป็นการแก้ไขปัญหาชั่วคราว โดย Sophos ได้แนะนำให้ผู้ใช้ทำตามขั้นตอนต่างๆ เพื่อให้แน่ใจว่า User Portal และ Webadmin จะไม่ถูกเข้าถึง WAN (แนะนำแนวทางที่ดีที่สุดให้ทำการ Disable WAN  และใช้ VPN หรือ Sophos Central แทน) และทำการอัพเดตเป็นเวอร์ชั่นล่าสุดที่รองรับการใช้งานได้ในเวอร์ชั่น

  • v19.5 GA
  • v19.0 MR2 (19.0.2)
  • v19.0 GA, MR1, and MR1-1
  • v18.5 MR5 (18.5.5)
  • v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
  • v18.0 MR3, MR4, MR5, and MR6
  • v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
  • v17.0 MR10

โดยผู้ใช้งาน Sophos Firewall เวอร์ชั่นเก่าจะต้องทำการอัปเกรดเพื่อให้อุปกรณ์รองรับการป้องกันล่าสุด และการแก้ไขต่างๆ ที่เกี่ยวข้อง

ในการพัฒนาครั้งนี้นับว่าเป็นครั้งที่สองของ Sophos Firewall ที่ถูกโจมตี จากช่วงต้นเดือนมีนาคมที่ผ่านมาจากช่องโหว่ CVE-2022-1040 ที่ผู้โจมตีสามารถหลีกเลี่ยงการตรวจสอบสิทธิ์ และรันโค้ดได้โดยพลการ ต่อมาในช่วงเดือนมิถุนายน บริษัทรักษาความปลอดภัยทางไซเบอร์ Volexity ได้ออกมาเปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีที่เกิดขึ้นจากประเทศจีน (APT) หรือที่รู้จักกันในชื่อ DriftingCloud

DriftingCloud APT ใช้ประโยชน์จากบั๊กซีโร่เดย์ใน Sophos Firewall

ผู้โจมตียังใช้ XG Firewall SQL injection zero-day ตั้งแต่ปี 2563 มีเป้าหมายในการขโมยข้อมูลชื่อผู้ใช้งาน และรหัสผ่าน ส่วนหนึ่งของการโจมตี Zero-day โดยใช้ Asnarök trojan malware ในการขโมยข้อมูลจากอุปกรณ์ XG Firewall ที่มีช่องโหว่ ซึ่งเป็น Zero-day แบบเดี่ยวกันที่ใช้ใน Ragnarok ransomware ที่โจมตีไปยัง Windows enterprise networks