黑客利用 Sophos 防火墙中的零日 RCE 漏洞 — 补丁已发布

安全软件公司Sophos在发现攻击者正在利用一个新的关键零日漏洞攻击其客户的网络后，发布了其防火墙产品的补丁更新。

此问题（作为 CVE-2022-3236（CVSS 分数：9.8）进行跟踪）会影响 Sophos 防火墙 v19.0 MR1 （19.0.1） 及更早版本，并涉及用户门户和 Webadmin 组件中的代码注入漏洞，该漏洞可能导致远程执行代码。

该公司表示，它“已经观察到这个漏洞被用来针对一小部分特定的组织，主要是在南亚地区”，并补充说它直接通知了这些实体。

作为一种解决方法，Sophos 建议用户采取措施确保用户门户和 Webadmin 不会暴露在 WAN 中。或者，用户可以更新到最新的受支持版本 –

· 19.5 版正式版

· 19.0 版 MR2 （19.0.2）

· 正式版、MR1 和 MR1-1 版 19.0 版

· 18.5 版 MR5 （18.5.5）

· 18.5 版正式版、《通用电气设备》、《通用电气设备》第 1 版、第 1 版、第 10 版、第 10 版、第 100 版、第 100 版、第 100 版、第 1 版和第 4 版

· 18.0 版磁共振 3、磁共振 4、磁共振 5 和磁共振 6

· v17.5 磁共振12、磁共振13、磁共振14、磁共振15、磁共振16和磁共振17

· 版本17.0 MR10

运行旧版 Sophos 防火墙的用户需要升级才能获得最新的保护和相关修复。

这一发展标志着Sophos防火墙漏洞在一年内第二次受到主动攻击。今年 3 月初，另一个缺陷 （CVE-2022-1040） 被用来定位南亚地区的组织。

然后在2022年6月，网络安全公司Volexity分享了攻击活动的更多细节，将入侵锁定在中国高级持续性威胁（APT）上，称为漂移云。

Sophos防火墙设备以前也受到攻击，部署所谓的Asnarök木马，试图窃取敏感信息。