CVE-2022-1040

Sophos Firewall

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-03-31

Официальное описание

An authentication bypass vulnerability in User Portal and Webadmin of Sophos Firewall allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость (CVE-2022-1040) в Sophos Firewall позволяет злоумышленнику обойти аутентификацию на портале пользователей (User Portal) и в веб-админке (Webadmin). Воспользовавшись этим, атакующий может выполнить произвольный код на устройстве, что потенциально ведет к полному контролю над межсетевым экраном.

Как исправить

Установите фиксированную версию прошивки Sophos Firewall. Уязвимость устранена в следующих релизах: * Для версий v18.5 и выше: Установите SFOS v18.5.4 MR-4 или новее. * Для версий v19.0 и выше: Установите SFOS v19.0.0 MR-1 или новее.

Порядок действий: 1. Войдите в веб-консоль администрирования Sophos Firewall. 2. Перейдите в раздел Backup & Firmware. 3. На вкладке Firmware проверьте доступность обновления. 4. Если обновление доступно, скачайте и установите его, следуя инструкциям на экране.

Проверка текущей версии: В веб-консоли перейдите в Dashboard (Главная панель) → SystemFirmware version.

Временное решение

Если немедленное обновление невозможно, выполните следующие действия для снижения риска:

  1. Ограничьте доступ к интерфейсам управления:

    • Настройте правила брандмауэра, разрешающие доступ к порталу пользователей (User Portal) и веб-админке (Webadmin) только с доверенных IP-адресов или сетей.
    • Отключите доступ к этим интерфейсам из внешней сети (WAN), если это не является строго необходимым.

  2. Измените политики доступа (если используется): Если к User Portal разрешен доступ по HTTPS без предварительной аутентификации (например, для портала захвата), временно измените эту политику, потребовав обязательной аутентификации.

Пример команды для проверки правил брандмауэра (через CLI):

# Подключитесь к CLI Sophos Firewall по SSH
# Просмотрите правила для зоны, содержащей интерфейс управления (например, LAN)
show rule filter:zone=LAN | grep -E "(UserPortal|WebAdmin|443|4444)"

(Обратите внимание: точные имена служб/правил могут отличаться. Основная задача — найти и проверить правила, разрешающие входящие подключения на порты 443 (User Portal) и 4444 (Webadmin) по TCP).

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей