اصلاح ضعف امنیتی در فایروال‌های Sophos XG

اول مهر 1401، شرکت سوفوس یک آسیب‌پذیری به شناسه CVE-2022-3236 از نوع Remote Code Execution – به اختصار RCE – را شناسایی و ترمیم نمود. این ضعف امنیتی در فایروال‌های سوفوس سری XG امکان اجرای کد از راه دور را در پورتال کاربر (User Portal) و کنسول مدیریتی (Webadmin) برای مهاجم فراهم می‌کند.  

آن دسته از مشتریان فایروال سوفوس سری XG که قابلیت «Allow automatic installation of hotfixes» در تنظیمات فایروال آنها، فعال باشد، نیاز به هیچ اقدامی ندارند و اصلاحیه مربوط به این ضعف امنیتی بطور خودکار دانلود و نصب میشود  (به بخش نحوه به‌روزرسانی در ادامه این مقاله مراجعه کنید). لازم به ذکر است که تنظیمات مذکور به صورت پیش‌فرض فعال می‌باشد.

بر اساس مشاهدات و سنجش از راه دور (Telemetry) شرکت سوفوس، مهاجمان با سوءاستفاده از این آسیب‌پذیری مجموعه کوچکی از سازمان‌های خاص عمدتاً در منطقه جنوب آسیا را مورد هدف قرار داده‌اند که البته سوفوس به هر یک از این سازمان‌ها به صورت جداگانه  اطلاع‌رسانی نموده است.

نسخه‌های متاثر از ضعف امنیتی CVE-2022-3236

این به‌روزرسانی برای فایروال سوفوس سری XG نسخه v19.0 MR1ا(Sophos  Firewall v19.0 MR1) و نسخ قدیمی‌تر است.

فایروال های سوفوس سری SG فاقد این ضعف امنیتی هستند و نیاز به هیچ اقدامی ندارند.

همچنین اکیداً توصیه می‌شود که راهبران شبکه با مراجعه به نشانی زیر، به عنوان بهترین راهکار امنیتی، دسترسی از ناحیه WAN به Web Admin و User Portal را غیرفعال نمایند و به جای آن از VPN و یا Sophos Central برای دسترسی و مدیریت از راه دور استفاده نمایند.

https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Administration/DeviceAccess/index.html

نحوه به‌روزرسانی

• با مراجعه به نشانی زیر، اطمینان حاصل نمائید که در حال اجرای نسخه معتبری از فایروال می‌باشید:

https://support.sophos.com/support/s/article/KB-000035279?language=en_US#xgfirewallsoftware

• اصلاحیه فوری (hotfix) نسخه های زیر در 30 شهریور 1401 منتشر شده است:
  • نسخ v19.0 GAا، MR1
  • نسخ v18.5 GAا، MR3 ،MR2 ،MR1 و MR4
• اصلاحیه فوری (hotfix) نسخه های زیر در 1 مهر 1401 منتشر شده است:
  • نسخ  MR5 ،MR4 ،v18.0 MR3 و MR6
  • نسخ MR16 ،MR15 ،MR14 ،MR13 ،v17.5 MR12 و MR17
  • نسخه v17.0 MR10
• این ضعف امنیتی در نسخه های MR5اv18.5اا(l18.5.5l)، MR2اv19.0اt(l19.0.2l) iو v19.5 GA از قبل برطرف شده است.
• کاربران نسخ قدیمی‌تر فایروال سوفوس به منظور دریافت حداکثر حفاظت‌ و رفع این ضعف امنیتی، لازم است که فایروال خود را بروزرسانی نمایند.

اطلاعات کامل درخصوص این ضعف امنیتی در نشانی زیر قابل مطالعه می‌باشد:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-3236

جهت اطمینان از ترمیم و اعمال این اصلاحیه فوری بر روی فایروال، می‌توانید به نشانی‌های زیر مراجعه نمائید:

https://support.sophos.com/support/s/article/KB-000044539?language=en_US

https://docs.sophos.com/nsg/sophos-firewall/19.0/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Administration/DeviceAccess/index.html

در صورت هر گونه ابهام در مورد رفع ضعف امنیتی فوق، میتوانید با واحد پشتیبانی فنی شرکت مهندسی شبکه گستر (شماره 42052-021) تماس حاصل فرمایید.