SOPHOS แจ้งเตือนช่องโหว่ RCE บน Firewall ที่กำลังถูกนำมาใช้โจมตีอยู่ในปัจจุบัน
Sophos ออกมาแจ้งเตือนช่องโหว่ RCE (remote code execution) ระดับ critical ใน Firewall ของตน โดยช่องโหว่ดังกล่าวกำลังถูกใช้ในการโจมตีกลุ่มเป้าหมายองค์กรในภูมิภาคเอเชียใต้ โดยทาง Sophos ได้แจ้งเตือนไปยังองค์กรเหล่านี้โดยตรงเรียบร้อยแล้ว
โดยช่องโหว่นี้มีหมายเลข CVE-2022-3236 เป็นช่องโหว่บน User Portal และ Webadmin ของ Sophos Firewall ซึ่งสามารถทำให้ผู้โจมตีสั่งรันโค้ดที่เป็นอันตรายจากระยะไกลได้ (remote code execution)
โดย Sophos ระบุว่าได้ปล่อย hotfixes สำหรับแก้ไขปัญหาเบื้องต้นให้กับ Sophos Firewall เวอร์ชันที่ได้รับผลกระทบแล้ว (v19.0 MR1 (19.0.1) และเก่ากว่า) ซึ่งจะได้รับการอัปเดตโดยอัตโนมัติหากมีการเปิดการตั้งค่าอัปเดตอัตโนมัติไว้ แต่ผู้ใช้งาน Sophos Firewall เวอร์ชันเก่าจะต้องอัปเกรดเป็นเวอร์ชันที่รองรับเพื่อที่จะสามารถอัปเดตแพตช์ของ CVE-2022-3236 ได้
Sophos ยังแนะนำวิธีแก้ปัญหาสำหรับผู้ใช้งานที่ยังไม่สามารถอัปเดตอุปกรณ์ที่มีช่องโหว่ได้ในทันที โดยแนะนำให้ไม่ควรเปิดให้เข้าถึง User Portal และ Webadmin ของ Sophos Firewall ได้โดยตรงจากภายนอก
ก่อนหน้านี้ Sophos Firewall เคยพบช่องโหว่ระดับ Critical มาแล้วในเดือนมีนาคม โดยช่องโหว่ดังกล่าวมีหมายเลข CVE-2022-1040 ซึ่งเป็นช่องโหว่บน User Portal และ Webadmin เช่นเดียวกัน ซึ่งสามารถทำให้ผู้โจมตี bypass การตรวจสอบสิทธิ์ และสั่งรันโค้ดที่เป็นอันตรายได้ตามที่ต้องการ
เช่นเดียวกับ CVE-2022-3236 ข้อมูลจาก Volexity ระบุว่า ช่องโหว่ดังกล่าวถูกใช้โจมตีโดยมุ่งเป้าไปที่องค์กรจากเอเชียใต้เป็นหลัก ซึ่งมีข้อมูลว่ากลุ่ม DriftingCloud กลุ่มผู้โจมตีสัญญาติจีนใช้ประโยชน์จากช่องโหว่ CVE-2022-1040 มาตั้งแต่ต้นเดือนมีนาคม ประมาณสามสัปดาห์ก่อนที่ Sophos จะออกอัปเดตแพตช์
ผู้โจมตียังใช้การโจมตีในรูปแบบ SQL injection กับ XG Firewall มาตั้งแต่ต้นปี 2020 โดยมีเป้าหมายในการขโมยข้อมูลที่สำคัญ เช่น ชื่อผู้ใช้ และรหัสผ่าน ซึ่งเป็นส่วนหนึ่งของการโจมตีเพื่อติดตั้งมัลแวร์ Asnarök เพื่อพยายามขโมยข้อมูลสำคัญบนไฟร์วอลล์จากอินสแตนซ์ของ XG Firewall ที่มีช่องโหว่
Zero-day ในลักษณะเดียวกันนี้ก็เคยถูกใช้เพื่อแพร่กระจาย Ragnarok ransomware payloads ไปยังองค์กรที่ใช้ระบบปฏิบัติการ Windows อีกด้วย
ที่มา : www.