Công ty phần mềm bảo mật Sophos đã cảnh báo về các cuộc tấn công mạng nhắm vào một lỗ hổng nghiêm trọng được giải quyết gần đây trong sản phẩm tường lửa của họ.
Sự cố, được theo dõi là CVE-2022-3236 (điểm CVSS: 9,8), ảnh hưởng đến Sophos Firewall v19.0 MR1 (19.0.1) trở lên và liên quan đến lỗ hổng chèn mã trong các thành phần Cổng người dùng và Webadmin có thể dẫn đến mã từ xa chấp hành.
Công ty cho biết họ “đã quan sát thấy lỗ hổng này được sử dụng để nhắm mục tiêu vào một nhóm nhỏ các tổ chức cụ thể, chủ yếu ở khu vực Nam Á”, đồng thời thông báo trực tiếp cho các tổ chức này.
Để giải quyết vấn đề này, Sophos khuyến nghị người dùng thực hiện các bước để đảm bảo rằng Cổng thông tin người dùng và Webadmin không tiếp xúc với mạng WAN. Ngoài ra, người dùng có thể cập nhật lên phiên bản được hỗ trợ mới nhất –
v19.5 GA v19.0 MR2 (19.0.2) v19.0 GA, MR1 và MR1-1 v18.5 MR5 (18.5.5) v18.5 GA, MR1, MR1-1, MR2, MR3 va MR4 v18.0 MR3, MR4, MR5 và MR6 v17.5 MR12, MR13, MR14, MR15, MR16 và MR17 v17.0 MR10
Người dùng đang chạy phiên bản Sophos Firewall cũ hơn được yêu cầu nâng cấp để nhận được các biện pháp bảo vệ mới nhất và các bản sửa lỗi có liên quan.
Sự phát triển này đánh dấu lần thứ hai lỗ hổng Sophos Firewall bị tấn công tích cực trong vòng một năm. Đầu tháng 3 này, một lỗ hổng khác (CVE-2022-1040) đã được sử dụng để nhắm mục tiêu vào các tổ chức ở khu vực Nam Á.
Sau đó, vào tháng 6 năm 2022, công ty an ninh mạng Volexity đã chia sẻ thêm chi tiết về chiến dịch tấn công, xác định các cuộc xâm nhập vào một mối đe dọa dai dẳng tiên tiến của Trung Quốc (APT) được gọi là DriftingCloud.
Các thiết bị tường lửa Sophos trước đây cũng đã bị tấn công để triển khai thứ được gọi là trojan Asnarök nhằm tìm cách bòn rút thông tin nhạy cảm.
.