CTIR GOV.BR divulga vulnerabilidades no FIREWALL SOPHOS

CTIR gov.br publicou uma nota de vulnerabilidades relevantes no produto Sophos Firewall, que permitem desde a injeção de códigos até escalação de privilégios, afetando as versões anteriores à 19.5 GA. As descrições das Common Vulnerabilities and Exposures (CVE) são as abaixo relacionadas:

• https://nvd.nist.gov/vuln/detail/CVE-2022-3226
• https://nvd.nist.gov/vuln/detail/CVE-2022-3696
• https://nvd.nist.gov/vuln/detail/CVE-2022-3709
• https://nvd.nist.gov/vuln/detail/CVE-2022-3711
•  https://nvd.nist.gov/vuln/detail/CVE-2022-3713

2. O Centro de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos de Governo (CTIR Gov) solicita às instituições da Administração Pública Federal (APF) e orienta as demais entidades/instituições que identifiquem sistemas vulneráveis sob sua responsabilidade e apliquem com urgência as devidas correções, conforme orientações do fabricante, disponíveis nos links:

• https://www.sophos.com/en-us/security-advisories/sophos-sa-20221201-sfos-19-5-0
• https://community.sophos.com/sophos-xg-firewall/b/blog/posts/sophos-firewall-v195-is-now-available

2.1. O CTIR Gov reforça, ainda, a necessidade de atualização do sistema para corrigir a vulnerabilidade publicada na CVE-2022-3236, conforme a Recomendação 35/2022:

• https://www.gov.br/ctir/pt-br/assuntos/alertas-e-recomendacoes/recomendacoes/2022/recomendacao-35-2022

2.2. Procedimentos para verificação da aplicação de patches e ativação de atualizações automáticas podem ser consultados no link:

• https://support.sophos.com/support/s/article/KB-000044539

3. O CTIR Gov, em atenção ao Decreto 10.748/2021, solicita às entidades responsáveis pelas Equipes de Prevenção, Tratamento e Resposta a Incidentes Cibernéticos Setoriais que orientem a constituency de seus respectivos setores sobre o tratado nesta Recomendação. Reforça também que a participação dos órgãos e das entidades da administração pública federal direta, autárquica e fundacional na Rede Federal de Gestão de Incidentes Cibernéticos é obrigatória. Desta forma, o processo de formalização da adesão deverá ser operacionalizado em linha com tal normativo e com as orientações constantes da página eletrônica do CTIR Gov (https://www.gov.br/ctir/pt-br/assuntos/perguntas-frequentes-decreto-10-748-2021/perguntas-frequentes-sobre-o-decreto-10-748-2021).