CVE-2022-3236 Sophos Firewall Code Injection Vulnerability

CISA added CVE-2022-3236 Sophos Firewall Code Injection Vulnerability in Known Exploited Vulnerabilities Catalog on Sep.23.

 

CVE-2022-3236    Sophos    Firewall             

Sophos Firewall Code Injection Vulnerability        

Added on 2022-09-23    

A code injection vulnerability in the User Portal and Webadmin of Sophos Firewall allows for remote code execution.           

Sophos Firewall のユーザポータルおよび Webadmin にコードインジェクションの脆弱性があり、リモートでコードを実行される可能性があります。     

Apply updates per vendor instructions by 2022-10-14

ベンダーの指示に従い2022-10-14 までにアップデートを適用してください。

 

Taro's Note:

The above vendor site lists workarounds and remedies. It is worthwhile to read them, as they present ideas that are common to protect firewall products and management console from other vendors as well. Let me quote it below.

上記ベンダーサイトに回避策や改善策が挙げられている。それはには他社のファイアウォール製品や管理コンソールの保護にも共通の考え方が示されており、一読しておくと良い。下記に引用する。

 

Overview ... 概要

No action is required for Sophos Firewall customers with the "Allow automatic installation of hotfixes" feature enabled on remediated versions (see Remediation section below). Enabled is the default setting.

修正されたバージョンで「Hotfix の自動インストールを許可する」機能を有効にしている Sophos Firewall のお客様は、何もする必要はありません (以下の「修正」のセクションを参照)。有効はデフォルトの設定です。

 

Sophos has observed this vulnerability being used to target a small set of specific organizations, primarily in the South Asia region. We have informed each of these organizations directly. Sophos will provide further details as we continue to investigate.

ソフォスは、この脆弱性が、主に南アジア地域の少数の特定の組織を標的として使用されていることを確認しています。これらの組織には、それぞれ直接通知しました。ソフォスは、調査を継続しながら、さらなる詳細を提供します。

 

Applies to the following Sophos product(s) and version(s)

以下のソフォス製品およびバージョンに適用されます。

 

Sophos Firewall v19.0 MR1 (19.0.1) and older

Sophos Firewall v19.0 MR1 (19.0.1) およびそれ以前のバージョン

 

Workaround .. 回避策

Customers can protect themselves from external attackers by ensuring their User Portal, and Webadmin are not exposed to WAN.

お客様は、ユーザーポータルおよび Webadmin が WAN に露出しないようにすることで、外部からの攻撃から身を守ることができます。

 

Disable WAN access to the User Portal and Webadmin by following device access best practices (*1) and instead use VPN and/or Sophos Central (preferred) for remote access and management.

デバイスアクセスのベストプラクティス (*1) に従って、ユーザーポータルと Webadmin への WAN アクセスを無効にし、代わりに VPN や Sophos Central (推奨) を使用してリモートアクセスと管理を行います。

 

*1  Device Access Best practices … デバイスアクセスのベストプラクティス

Administrative services and user portal: We do not recommend allowing access to the web admin console (HTTPS), CLI console (SSH), and the user portal from the WAN zone or over the SSL VPN port. If you must give access, we recommend using the best practices listed in the table in this section.

管理サービスおよびユーザーポータル: WANゾーンから、またはSSL VPNポート経由で、Web管理コンソール（HTTPS）、CLIコンソール（SSH）、およびユーザーポータルにアクセスできるようにすることはお勧めしません。アクセスを許可する必要がある場合は、このセクションの表に記載されているベストプラクティスを使用することをお勧めします。

 

SSL VPN port: By default, all management services use unique ports. SSL VPN is set to TCP port 8443.

SSL VPNポート; デフォルトでは、すべての管理サービスは固有のポートを使用します。SSL VPNは、TCPポート8443に設定されています。

 

Warning ,,, 警告

If you manually change the default ports, we strongly recommend that you use a unique port for each service. Using a unique port ensures that services are not exposed to the WAN zone even after you turn off access. Example: If you use port 443 for both the user portal and SSL VPN, the user portal will be accessible from the WAN zone even if you turn off WAN access from this page.

デフォルトのポートを手動で変更する場合は、各サービスに一意のポートを使用することを強くお勧めします。一意のポートを使用すると、アクセスをオフにした後でも、サービスがWANゾーンに公開されないようになります。例 例：ユーザーポータルとSSL VPNの両方にポート443を使用する場合、このページからWANアクセスをオフにしても、ユーザーポータルはWANゾーンからアクセス可能です。

 

Remediation .. 改善策

Ensure you are running a supported version

サポートされているバージョンを実行していることを確認する

 

Hotfixes for the following versions published on September 21, 2022:

2022年9月21日に公開された以下のバージョンのHotfix。

• v19.0 GA, MR1, and MR1-1
• v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4

 

Hotfixes for the following versions published on September 23, 2022:

2022年9月23日に公開された以下のバージョンのHotfixです。

• v18.0 MR3, MR4, MR5, and MR6
• v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
• v17.0 MR10

Fix included in v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), and v19.5 GA
v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), v19.5 GA で修正されました。

Users of older versions of Sophos Firewall are required to upgrade to receive the latest protections, and this fix
Sophos Firewall の旧バージョンを使用しているユーザーは、最新の保護を受けるため並びに当該修正を受けるためにアップグレードする必要があります。

Source:

・Known Exploited Vulnerabilities Catalog

　https://www.cisa.gov/known-exploited-vulnerabilities-catalog

・Resolved RCE in Sophos Firewall (CVE-2022-3236) (09/23)

　https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce