VARSEL (TLP:CLEAR)
[JustisCERT-varsel] [#027-2022] [TLP:CLEAR] Kritisk sårbarhet i SonicOS fra SonicWall og i Sophos XG Firewall
29-03-2022
JustisCERT ønsker å varsle om kritiske sårbarheter i:
- SonicOS fra SonicWall (CVE-2022-22274 med CVSS-score 9.4). En uautentisert angriper kan utføre et tjenestenektangrep (DoS) eller kjøre kode på en berørte enhet dersom webgrensesnittet for administrasjon er eksponert. SonicWall har publisert oppdateringer samt mitigerende tiltak for produkter som ikke kan oppdateres. [1]
- Sophos Firewall, tidligere kjent som Sophos XG Firewall (CVE-2022-1040 med CVSS-score 9.8). En angriper kan omgå autentisering for å kjøre kode på eksponerte enheter berørt av sårbarheten. Sophos har publisert oppdateringer for produkter som er berørt [2], anbefalte tiltak/beste praksis for å beskytte eksponerte enheter [3], samt en veiledning for å verifisere at «Allow automatic installation of hotfixes» er aktivert/på og at nødvendig oppdatering er installert [4].
Berørte produkter er:
- SonicWall SonicOS < 7.0.1-5050
- SonicWall SonicOS < 7.0.1-R579
- SonicWall SonicOS < 6.5.4.4-44v-21-1452
- Sophos Firewall (aka Sophos XG Firewall), se oversikt på [2]
Anbefalinger:
- Patch/oppdater berørte produkter
- Sørg for at automatiske oppdateringer er aktivert der det er anbefalt/beste praksis
- Koble utstyr som ikke lenger får sikkerhetsoppdateringer fra nettet og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
- Prioriter systemer som er eksponert mot internett og andre nett som virksomheten ikke stoler på først
- Ikke eksponer admingrensesnitt mot internett eller andre nett som virksomheten ikke stoler på
- Begrens hvilke IPer som kan nå admingrensesnitt til kun de som administrerer løsningen
- Aktiver IPS-signaturer/Geo-blokking/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte virksomhetens løsninger
- Deaktiver utdaterte/usikre kommunikasjonsmetoder
- Skru av eksponerte tjenester som ikke er i daglig bruk
Kilder:
[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2022-0003
[2] https://www.sophos.com/en-us/security-advisories/sophos-sa-20220325-sfos-rce
[3] https://docs.sophos.com/nsg/sophos-firewall/18.5/Help/en-us/webhelp/onlinehelp/AdministratorHelp/Administration/DeviceAccess/index.html
[4] https://support.sophos.com/support/s/article/KB-000043853?language=en_US