Sophos Firewall の深刻な脆弱性 CVE-2022-1040 が FIX:認証回避による RCE

Critical Sophos Firewall vulnerability allows remote code execution

2022/03/27 BleepingComputer — Sophos は、Sophos Firewall 製品に存在する、深刻なリモートコード実行 (RCE) の脆弱性を修正した。この認証回避の脆弱性 CVE-2022-1040 は、Sophos Firewall の User Portal および Webadmin 領域に存在する。金曜日に Sophos は、Sophos Firewall Ver 18.5 MR3 (18.5.3) 以前に影響する、リモートコード実行の深刻な脆弱性を開示し、それに対するホット・フィックスをリリースした。

Web 管理コンソールにおける RCE のバグ

この脆弱性 CVE-2022-1040 (CVSS スコア 9.8) は、Firewall の User Portal または Webadmin のインターフェースにアクセス可能なリモートの攻撃者が、認証を回避して任意のコードを実行できるものである。

Sophos Firewall User Portal
Sophos Firewall User Portal interface (Sophos Community)

この脆弱性は、無名の外部セキュリティ研究者が、Sophos のバグバウンティ・プログラムを通じて、責任を持って同社に報告したものである。この脆弱性に対処するために Sophos は、大半のインスタンスにディフォルトで自動的に適用される、ホットフィックスをリリースした。

Sophos Firewall の [Hotfix の自動インストールを許可する] 機能を有効にしている場合は、何もする必要がないと、Sophos のセキュリティ・アドバイザリでは説明されている。ただし、このセキュリティ・アドバイザリでは、一部の古いバージョンや製造終了製品については、手動での対応の必要性があるかもしれないと示唆している。

この脆弱性に対する一般的な回避策として、User Portal および Webadmin インターフェースのセキュリティを確保するよう、同社は顧客に助言している。Sophos のアドバイザリには、「User Portal および Webadmin が WAN に露出しないようにすることで、外部からの攻撃から身を守ることができる。デバイス・アクセスのベストプラクティスに従って、User Portal と Webadmin への WAN アクセスを無効にし、その代わりに VPN や Sophos Central を用いてリモートアクセスと管理を行ってほしい」と記されている。

今週の初めに Sophos は、Sophos UTM (Unified Threat Management) アプライアンスに影響を与える、2 つの深刻度 High の脆弱性 CVE-2022-0386/CVE-2022-0652 にも対処している。

攻撃者に悪用され続けてきた Sophos Firewall のバグ

これまでの攻撃者が、脆弱な Sophos Firewall インスタンスを標的にしていたことを考えると、Sophos Firewall インスタンスに最新のセキュリティ・パッチとホット・フィックスを適用することが、継続する重要事項となる。

2020年の初頭に Sophos は、ハッカーが積極的に悪用しているという報告を受け、XG Firewall の ゼロデイ SQL インジェクションの脆弱性を修正した。2020年4月以降には、トロイの木馬マルウェア Asnarök の背後にいる脅威アクターが、脆弱な XG Firewall インスタンスのゼロデイを悪用し、ファイアウォールからユーザー名とハッシュ化されたパスワードを盗み出そうとしたようだ。

また、同じゼロデイを悪用して、企業の Windows システムに、Ragnarok ランサムウェアのペイロードを配信しようとするハッカーもいた。そのため、Sophos Firewall のユーザーに対しては、対象製品のアップデートの有無を確認することが推奨される。

Sophos のサポート Web サイトでは、ホット・フィックスの自動インストールを有効にする方法と、CVE-2022-1040 に対するホット・フィックスが、使用中の製品に正しく適用されているかどうかを確認する方法が説明されている。ホット・フィックスの自動インストールを有効にすると、Sophos Firewall は 30分ごとに、また、再起動後に、ホット・フィックスの有無を確認するようになる。

この種の脆弱性には、驚異アクターたちがすぐに群がるので、最優先で対応せざるを得ません。このブログが始まってから、それほど深刻な Sophos の脆弱性はなかったらしく、タイトルに Sophos が入る初めてのポストとなりました。詳しくは、Sophos のセキュリティ・アドバイザリ Resolved RCE in Sophos Firewall (CVE-2022-1040) を、ご参照ください。

%d bloggers like this: