CVE-2023-1671

Sophos Web Appliance

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2023-11-16

Официальное описание

Sophos Web Appliance contains a command injection vulnerability in the warn-proceed handler that allows for remote code execution.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2023-1671 представляет собой критическую уязвимость типа Command Injection (инъекция команд) в компоненте warn-proceed обработчика Sophos Web Appliance (SWA). Проблема возникает из-за недостаточной фильтрации входных данных, передаваемых пользователем в HTTP-запросе.

Злоумышленник может отправить специально сформированный запрос к веб-интерфейсу устройства, что позволит выполнить произвольные системные команды с правами суперпользователя (root) без предварительной аутентификации. Это ведет к полному захвату контроля над шлюзом безопасности и возможности дальнейшего продвижения по внутренней сети организации.

Как исправить

Компания Sophos официально прекратила поддержку (End of Life) продукта Web Appliance в июле 2023 года. Однако для данной уязвимости было выпущено автоматическое обновление.

  1. Проверьте версию установленного ПО. Уязвимость устранена в версии 4.3.10.4.
  2. Убедитесь, что на устройстве включена функция автоматического обновления. По умолчанию Sophos Web Appliance проверяет наличие патчей каждые 10 минут.
  3. Если устройство находится в изолированном сегменте без доступа к серверам обновлений Sophos, необходимо временно разрешить доступ к следующим доменам для загрузки патча:
  4. *.sophos.com
  5. *.sophosupd.com
  6. *.sophosupd.net

Для принудительного запуска процесса обновления через консоль (если доступен SSH/TTY):

/opt/bin/update

Временные меры

Если немедленное обновление до версии 4.3.10.4 невозможно, необходимо принять следующие меры для снижения риска:

  1. Ограничьте доступ к веб-интерфейсу управления (Web Admin Interface). Разрешите подключения только с доверенных IP-адресов администраторов.
  2. Изолируйте Sophos Web Appliance от публичного интернета, если он доступен извне.
  3. Настройте правила на внешнем Firewall или IPS для блокировки подозрительных POST-запросов, содержащих обработчик /warn-proceed.
  4. Рассмотрите возможность миграции на актуальные решения (например, Sophos Firewall или Sophos Central Web Gateway), так как жизненный цикл SWA завершен и новые уязвимости не будут исправляться.

Для проверки текущего состояния системы и версии используйте:

cat /etc/version
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей