# CVE-2022-3236 ## Resumo CVE-2022-3236 é uma vulnerabilidade crítica de **injeção de código** (*Code Injection*, CWE-94) nos componentes User Portal e Webadmin do Sophos Firewall. A falha permite que um atacante remoto não autenticado execute código arbitrário no sistema - potencialmente com privilégios de root - sem necessidade de autenticação prévia ou interação do usuário. A Sophos identificou que a vulnerabilidade foi explorada como zero-day contra "um pequeno conjunto de organizações específicas, principalmente na região da Ásia do Sul". O patch foi automaticamente distribuído em setembro de 2022 para os 99% dos dispositivos com a opção "Accept hotfix" habilitada. Em dezembro de 2023, novos ataques foram identificados contra versões antigas sem suporte (EOL), levando a um patch adicional. ## Detalhes Técnicos - **Tipo:** Code Injection / RCE - **Vetor:** Network - **Complexidade:** Low - **Pré-autenticação:** Sim (com a ressalva do CAPTCHA - ver abaixo) - **Versões afetadas:** Sophos Firewall v19.0 MR1 (19.0.1) e anteriores (incluindo v18.5 MR4 e abaixo) - **Versão corrigida:** v18.5 MR5 (18.5.5), v19.0 MR2 (19.0.2), v19.5 GA e acima; hotfixes automáticos liberados em 21-23/09/2022 - **CWE:** CWE-94 (Improper Control of Generation of Code), CWE-74 (Injection) ### Funcionamento Técnico A vulnerabilidade reside no processamento de entradas do usuário nos componentes User Portal e Webadmin do Sophos Firewall. O código afetado falha em válidar e sanitizar adequadamente a entrada antes do processamento, permitindo que um atacante injete código Perl arbitrário que é subsequentemente executado pelo sistema. A exploração gera uma entrada específica no log `/logs/csc.log` como indicador. Uma limitação importante para exploração em massa: por padrão, o Sophos Firewall exige que clientes web resolvam um CAPTCHA durante a autenticação - o código vulnerável só é alcançado após a válidação do CAPTCHA, tornando a exploração automatizada em escala menos trivial. ## Exploração A Sophos confirmou exploração ativa como zero-day antes da divulgação pública, direcionada principalmente a organizações no sul da Ásia. A CISA adicionou a CVE ao catálogo KEV no mesmo dia da divulgação (23 de setembro de 2022), com prazo de 21 dias para remediação - sinalizando urgência. Em novembro de 2023, novos tentativas de exploit foram identificadas direcionadas a versões antigas EOL do firewall, levando a Sophos a lançar um hotfix adicional em dezembro de 2023. A VulnCheck realizou análise independente e identificou mais de 4.000 firewalls Sophos expostos à internet em versões antigas demais para receber o hotfix automático. Nenhum exploit público completo foi confirmado até a data desta nota - exploits postados no GitHub foram rapidamente removidos por serem considerados fraudulentos. ## Attack Flow ```mermaid graph TB A["📡 Reconhecimento<br/>Identificação de Sophos Firewall<br/>exposto na internet"] --> B["💥 Exploit CVE-2022-3236<br/>Code injection via User Portal<br/>ou Webadmin (pré-auth)"] B --> C["🔑 Bypass CAPTCHA<br/>Resolução do CAPTCHA<br/>para alcançar código vulnerável"] C --> D["🛡️ Execução de Código<br/>Injeção de código Perl<br/>com privilégios de root"] D --> E["🔗 Persistência<br/>Implantação de backdoor<br/>no appliance de borda"] E --> F["📤 Impacto<br/>Interceptação de tráfego<br/>e acesso à rede interna"] ``` ## Relevância LATAM/Brasil > [!latam] Impacto Regional > O Sophos Firewall possui penetração significativa no mercado brasileiro, especialmente em pequenas e médias empresas (PMEs) e organizações governamentais municipais e estaduais. A VulnCheck identificou mais de 4.000 dispositivos Sophos expostos globalmente em versões vulneráveis, e uma parcela considerável desses appliances encontra-se na América Latina, onde a cultura de "Accept hotfix" pode não estar habilitada por padrão em implementações mais antigas. > > O padrão de exploração direcionada observado na Ásia do Sul pode se replicar na América Latina, especialmente considerando que grupos APT chineses - que historicamente exploram dispositivos de borda de rede - têm expandido operações contra infraestrutura crítica e governos latinoamericanos. Organizações brasileiras nos setores financeiro, telecomúnicações e governo federal que utilizam Sophos Firewall como perímetro devem priorizar a verificação de versão e habilitação de hotfixes automáticos. > > A ANPD e o CERT.br não emitiram alertas específicos para esta CVE, mas o padrão de exploração de appliances de segurança de rede representa risco elevado para organizações brasileiras que dependem desses dispositivos como primeira linha de defesa. ## Mitigação 1. Atualizar o Sophos Firewall para v19.5 GA ou posterior (recomendado) ou aplicar os hotfixes das versões v18.5 MR5, v19.0 MR2 ou acima 2. Verificar se o recurso "Allow automatic installation of hotfixes" está habilitado - dispositivos com essa opção ativa receberam o patch automaticamente 3. Remover a interface User Portal e Webadmin da exposição pública na WAN; utilizar Sophos Central ou VPN para acesso administrativo 4. Verificar logs em `/logs/csc.log` e `/log/validationError.log` para evidências de tentativas de exploração 5. Para dispositivos em versões EOL: migrar urgentemente para versão suportada ## Referências - [Sophos Security Advisory SA-20220923-SFOS-RCE](https://www.sophos.com/en-us/security-advisories/sophos-sa-20220923-sfos-rce) - [NVD - CVE-2022-3236](https://nvd.nist.gov/vuln/detail/CVE-2022-3236) - [CISA KEV - Adição em 23/09/2022](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [VulnCheck - Análise de exploração CVE-2022-3236](https://vulncheck.com/blog/sophos-CVE-2022-3236) - [NucleusSec - CISA KEV Breakdown 23/09/2022](https://nucleussec.com/blog/cisa-kev-breakdown-september-23-2022/) ## Notas Relacionadas CVE-2022-3236 faz parte de um padrão mais amplo de exploração de dispositivos de borda de segurança de rede. A exploração focada na Ásia do Sul sugere possível envolvimento de grupos APT com foco nessa região, como [[g0069-mango-sandstorm|MuddyWater]] (Irã) ou grupos chineses que historicamente alvejam infraestrutura de segurança de rede. Para contexto de vulnerabilidades em firewalls e appliances de borda, ver [[cve-2022-40684|CVE-2022-40684]] (Fortinet authentication bypass), [[cve-2024-21762|CVE-2024-21762]] (FortiOS) e [[cve-2024-3400|CVE-2024-3400]] (Palo Alto PAN-OS). O padrão de exploração direcionada de dispositivos de segurança de rede é classificado no MITRE ATT&CK como [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] com foco em [[t1133-external-remote-services|T1133 - External Remote Services]]. A técnica de injeção de código classifica-se como [[t1059-command-scripting-interpreter|T1059 - Command and Scripting Interpreter]], e a persistência em appliances de borda como [[t1556-modify-authentication-process|T1556 - Modify Authentication Process]]. O setor [[telecommunications|telecomúnicações]] e o setor [[government|governo]] no Brasil utilizam extensivamente firewalls Sophos em suas redes.