اول مهر 1401، شرکت سوفوس یک آسیبپذیری به شناسه CVE-2022-3236 از نوع Remote Code Execution – به اختصار RCE – را شناسایی و ترمیم نمود. این ضعف امنیتی در فایروالهای سوفوس سری XG امکان اجرای کد از راه دور را در پورتال کاربر (User Portal) و کنسول مدیریتی (Webadmin) برای مهاجم فراهم میکند.
آن دسته از مشتریان فایروال سوفوس سری XG که قابلیت «Allow automatic installation of hotfixes» در تنظیمات فایروال آنها، فعال باشد، نیاز به هیچ اقدامی ندارند و اصلاحیه مربوط به این ضعف امنیتی بطور خودکار دانلود و نصب میشود (به بخش نحوه بهروزرسانی در ادامه این مقاله مراجعه کنید). لازم به ذکر است که تنظیمات مذکور به صورت پیشفرض فعال میباشد.
بر اساس مشاهدات و سنجش از راه دور (Telemetry) شرکت سوفوس، مهاجمان با سوءاستفاده از این آسیبپذیری مجموعه کوچکی از سازمانهای خاص عمدتاً در منطقه جنوب آسیا را مورد هدف قرار دادهاند که البته سوفوس به هر یک از این سازمانها به صورت جداگانه اطلاعرسانی نموده است.
نسخههای متاثر از ضعف امنیتی CVE-2022-3236
این بهروزرسانی برای فایروال سوفوس سری XG نسخه v19.0 MR1ا(Sophos Firewall v19.0 MR1) و نسخ قدیمیتر است.
فایروال های سوفوس سری SG فاقد این ضعف امنیتی هستند و نیاز به هیچ اقدامی ندارند.
همچنین اکیداً توصیه میشود که راهبران شبکه با مراجعه به نشانی زیر، به عنوان بهترین راهکار امنیتی، دسترسی از ناحیه WAN به Web Admin و User Portal را غیرفعال نمایند و به جای آن از VPN و یا Sophos Central برای دسترسی و مدیریت از راه دور استفاده نمایند.
نحوه بهروزرسانی
- با مراجعه به نشانی زیر، اطمینان حاصل نمائید که در حال اجرای نسخه معتبری از فایروال میباشید:
https://support.sophos.com/support/s/article/KB-000035279?language=en_US#xgfirewallsoftware
- اصلاحیه فوری (hotfix) نسخه های زیر در 30 شهریور 1401 منتشر شده است:
- نسخ v19.0 GAا، MR1
- نسخ v18.5 GAا، MR3 ،MR2 ،MR1 و MR4
- اصلاحیه فوری (hotfix) نسخه های زیر در 1 مهر 1401 منتشر شده است:
- نسخ MR5 ،MR4 ،v18.0 MR3 و MR6
- نسخ MR16 ،MR15 ،MR14 ،MR13 ،v17.5 MR12 و MR17
- نسخه v17.0 MR10
- این ضعف امنیتی در نسخه های MR5اv18.5اا(l18.5.5l)، MR2اv19.0اt(l19.0.2l) iو v19.5 GA از قبل برطرف شده است.
- کاربران نسخ قدیمیتر فایروال سوفوس به منظور دریافت حداکثر حفاظت و رفع این ضعف امنیتی، لازم است که فایروال خود را بروزرسانی نمایند.
اطلاعات کامل درخصوص این ضعف امنیتی در نشانی زیر قابل مطالعه میباشد:
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3236
جهت اطمینان از ترمیم و اعمال این اصلاحیه فوری بر روی فایروال، میتوانید به نشانیهای زیر مراجعه نمائید:
https://support.sophos.com/support/s/article/KB-000044539?language=en_US
در صورت هر گونه ابهام در مورد رفع ضعف امنیتی فوق، میتوانید با واحد پشتیبانی فنی شرکت مهندسی شبکه گستر (شماره 42052-021) تماس حاصل فرمایید.