Sophos SG UTM의 원격 코드 실행 취약점(CVE-2020-25223) 주의!!

 

 

보안 컨설팅 회사인 Atredis Partners의 보안 연구원이 Sophos SG UTM의 WebAdmin 원격 코드 실행 취약점에 대한 기술적 세부 사항을 공개했습니다.

2020년 9월 Sophos는 회사 버그 바운티 프로그램을 통해 보고된 SG UTM의 WebAdmin 원격 코드 실행 취약점(CVE-2020-25223)을 수정했으며, 해당 취약점이 공격에서 악용되었다는 증거가 없다고 밝혔습니다. 

하지만 2021년 8월, 보안 연구원 Justin Kennedy는 Sophos UTM 플랫폼 및 테스트 환경에서 ISO 버전 9.510-5와 9.511-2를 비교한 결과, Sophos UTM 어플라이언스에 루트 사용자로 인증되지 않은 RCE가 있다는 것을 발견했습니다.

또한 공격자가 취약한 장치에 HTTP 요청을 보내 취약점을 악용할 수 있으며 이 취약점을 유발하는 것이 매우 쉽다고 밝혔습니다.

Sophos는 SG UTM 고객에게 사용 가능한 최신 릴리스로 업그레이드할 것을 권장했습니다. 

 

 

취약점 번호

CVE-2020-25223

 

 

영향받는 버전

Sophos SG UTM v9.705 MR5, v9.607 MR7, v9.511 MR11 

 

 

조치 방법

사용자는 '관리→WebAdmin 설정→WebAdmin 액세스 구성→허용된 네트워크'에서 유일한 항목으로 또는 다른 내부 전용 네트워크 정의를 유지하여 WebAdmin이 WAN에 노출되지 않도록 하여 스스로를 보호할 수 있습니다. 취약한 버전의 Sophos UTM 어플라이언스를 사용하는 조직은 즉시 기기를 최신 버전으로 업데이트하시길 바랍니다.

 

 

 

참고:
https://securityaffairs.co/wordpress/121392/hacking/sophos-utm-appliance-rce.html
https://www.atredis.com/blog/2021/8/18/sophos-utm-cve-2020-25223
https://community.sophos.com/b/security-blog/posts/advisory-resolved-rce-in-sg-utm-webadmin-cve-2020-25223
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-25223