CISA added CVE-2022-3236 Sophos Firewall Code Injection Vulnerability in Known Exploited Vulnerabilities Catalog on Sep.23.
CVE-2022-3236 Sophos Firewall
Sophos Firewall Code Injection Vulnerability
Added on 2022-09-23
A code injection vulnerability in the User Portal and Webadmin of Sophos Firewall allows for remote code execution.
Sophos Firewall のユーザポータルおよび Webadmin にコードインジェクションの脆弱性があり、
Apply updates per vendor instructions by 2022-10-14
ベンダーの指示に従い2022-10-14 までにアップデートを適用してください。
Taro's Note:
The above vendor site lists workarounds and remedies. It is worthwhile to read them, as they present ideas that are common to protect firewall products and management console from other vendors as well. Let me quote it below.
上記ベンダーサイトに回避策や改善策が挙げられている。
Overview ... 概要
No action is required for Sophos Firewall customers with the "Allow automatic installation of hotfixes" feature enabled on remediated versions (see Remediation section below). Enabled is the default setting.
修正されたバージョンで「Hotfix の自動インストールを許可する」機能を有効にしている Sophos Firewall のお客様は、何もする必要はありません (以下の「修正」のセクションを参照)。
Sophos has observed this vulnerability being used to target a small set of specific organizations, primarily in the South Asia region. We have informed each of these organizations directly. Sophos will provide further details as we continue to investigate.
ソフォスは、この脆弱性が、
Applies to the following Sophos product(s) and version(s)
以下のソフォス製品およびバージョンに適用されます。
Sophos Firewall v19.0 MR1 (19.0.1) and older
Sophos Firewall v19.0 MR1 (19.0.1) およびそれ以前のバージョン
Workaround .. 回避策
Customers can protect themselves from external attackers by ensuring their User Portal, and Webadmin are not exposed to WAN.
お客様は、ユーザーポータルおよび Webadmin が WAN に露出しないようにすることで、
Disable WAN access to the User Portal and Webadmin by following device access best practices (*1) and instead use VPN and/or Sophos Central (preferred) for remote access and management.
デバイスアクセスのベストプラクティス (*1) に従って、
*1 Device Access Best practices … デバイスアクセスのベストプラクティス
Administrative services and user portal: We do not recommend allowing access to the web admin console (HTTPS), CLI console (SSH), and the user portal from the WAN zone or over the SSL VPN port. If you must give access, we recommend using the best practices listed in the table in this section.
管理サービスおよびユーザーポータル: WANゾーンから、またはSSL VPNポート経由で、Web管理コンソール(HTTPS)、CL
Iコンソール(SSH)、 およびユーザーポータルにアクセスできるようにすることはお勧め しません。アクセスを許可する必要がある場合は、 このセクションの表に記載されているベストプラクティスを使用す ることをお勧めします。
SSL VPN port: By default, all management services use unique ports. SSL VPN is set to TCP port 8443.
SSL VPNポート; デフォルトでは、
すべての管理サービスは固有のポートを使用します。SSL VPNは、TCPポート8443に設定されています。
Warning ,,, 警告
If you manually change the default ports, we strongly recommend that you use a unique port for each service. Using a unique port ensures that services are not exposed to the WAN zone even after you turn off access. Example: If you use port 443 for both the user portal and SSL VPN, the user portal will be accessible from the WAN zone even if you turn off WAN access from this page.
デフォルトのポートを手動で変更する場合は、
各サービスに一意のポートを使用することを強くお勧めします。 一意のポートを使用すると、アクセスをオフにした後でも、 サービスがWANゾーンに公開されないようになります。例 例:ユーザーポータルとSSL VPNの両方にポート443を使用する場合、このページからWA Nアクセスをオフにしても、ユーザーポータルはWANゾーンから アクセス可能です。
Remediation .. 改善策
Ensure you are running a supported version
サポートされているバージョンを実行していることを確認する
Hotfixes for the following versions published on September 21, 2022:
2022年9月21日に公開された以下のバージョンのHotfi
- v19.0 GA, MR1, and MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
Hotfixes for the following versions published on September 23, 2022:
2022年9月23日に公開された以下のバージョンのHotfi
- v18.0 MR3, MR4, MR5, and MR6
- v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
- v17.0 MR10
Fix included in v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), and v19.5 GA
v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), v19.5 GA で修正されました。
Users of older versions of Sophos Firewall are required to upgrade to receive the latest protections, and this fix
Sophos Firewall の旧バージョンを使用しているユーザーは、最新の保護を受けるため並びに当該修正を受けるためにアップグレードする必要があります。
Source:
・Known Exploited Vulnerabilities Catalog
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
・Resolved RCE in Sophos Firewall (CVE-2022-3236) (09/23)
https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce
No comments:
Post a Comment