CVE-2022-3236

Суть уязвимости

CVE-2022-3236 представляет собой критическую уязвимость типа Code Injection (инъекция кода) в компонентах User Portal и Webadmin межсетевого экрана Sophos Firewall.

Уязвимость позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код (RCE) на устройстве. Эксплуатация происходит путем отправки специально сформированных HTTP-запросов к веб-интерфейсам управления. Учитывая, что эти интерфейсы часто доступны из внешней сети, риск компрометации инфраструктуры оценивается как критический (9.8 по шкале CVSS v3).

Как исправить

Основным способом устранения уязвимости является установка официальных обновлений безопасности от производителя. Sophos выпустила исправления для всех поддерживаемых версий.

1. Проверьте текущую версию прошивки в консоли управления.
2. Убедитесь, что включена функция «Allow auto-install of hotfixes» (разрешить автоматическую установку исправлений).
3. Если автоматическое обновление не произошло, установите одну из следующих (или более новых) версий:
4. v19.0 MR1 (19.0.1) и выше
5. v18.5 MR4 и выше
6. v18.0 MR6 и выше

Для проверки наличия установленного хотфикса через CLI:

vps42 --status

Временные меры

Если немедленное обновление невозможно, необходимо ограничить поверхность атаки, следуя принципу минимизации привилегий сетевого доступа.

1. Отключите доступ к Webadmin и User Portal из внешней сети (WAN). Доступ должен быть разрешен только из доверенных внутренних сетей или через VPN.
2. Настройте правила доступа в разделе Administration > Device Access:
3. Снимите галочки с «HTTPS» и «User Portal» для зоны WAN.
4. Если удаленный доступ необходим, используйте Sophos Central для управления или настройте VPN-соединение перед обращением к интерфейсам.

Команда для проверки открытых портов управления через консоль:

show network interfaces