CVE-2022-1040

Versões do Sophos Firewall anteriores à v18.5 MR3 (18.5.3)

Sophos XG Firewall versão 17.0.10 MR-10

Existe uma falha de contorno de autenticação nos componentes User Portal e Webadmin do Sophos Firewall, permitindo potencialmente que um invasor remoto execute código. A vulnerabilidade permite contornar a autenticação, concedendo acesso não autorizado à interface de gerenciamento do firewall. Relatórios indicam um aumento significativo nas tentativas de exploração, com um aumento de 435% observado recentemente. A vulnerabilidade foi explorada em ataques envolvendo o malware Pigmy Goat, um rootkit Linux usado por agentes de ameaças chineses. Esse malware aproveita a vulnerabilidade (CVE-2022-1040) para obter acesso backdoor aos firewalls Sophos XG. O malware utiliza técnicas como o sequestro de LD PRELOAD para interceptar e manipular conexões SSH, estabelecendo um canal de comando e controle. A função accept dentro do daemon SSH é alvo para execução de código. A vulnerabilidade também foi associada a outros agentes de ameaças e famílias de malware, incluindo NoodleRAT, AcidRain e AcidPour. A exploração envolve o envio de uma solicitação POST criada para o ponto de extremidade da API /userportal/Controller com um parâmetro json específico ({“x”:“test”}). A vulnerabilidade afeta sistemas que executam Linux.

As versões do Sophos Firewall anteriores à v18.5 MR3 (18.5.3) devem ser atualizadas para uma versão mais recente e segura.

Sophos XG Firewall versão 17.0.10 MR-1