الثغرات ›

CVE-2023-1671

حرج 🇺🇸 CISA KEV ⚡ اختراق متاح

ثغرة حقن الأوامر في جهاز Sophos Web Appliance للتنفيذ البعيد للأكواد (CVE-2023-1671)

                    نُشر: Nov 16, 2023                                          ·  المصدر: CISA_KEV                

CVSS v3

9.0

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

Sophos Web Appliance Command Injection Vulnerability — Sophos Web Appliance contains a command injection vulnerability in the warn-proceed handler that allows for remote code execution.

🤖 ملخص AI

Sophos Web Appliance contains a critical command injection vulnerability (CVSS 9.0) in the warn-proceed handler enabling unauthenticated remote code execution. This vulnerability poses an immediate threat to organizations using Sophos Web Appliance as their primary web filtering and security gateway. Exploitation is trivial with publicly available exploits, making immediate patching essential for all Saudi organizations.

📄 الوصف (العربية)

تسمح ثغرة حقن الأوامر في معالج warn-proceed بتمرير مدخلات غير معقمة مباشرة إلى أوامر النظام. يمكن للمهاجمين الاستفادة من هذه الثغرة لتنفيذ أوامر تعسفية على الخادم بامتيازات عالية. الثغرة تؤثر على جميع إصدارات Sophos Web Appliance المعرضة وتتطلب تحديثاً فوراً.

🤖 ملخص تنفيذي (AI)

يحتوي جهاز Sophos Web Appliance على ثغرة حقن أوامر حرجة (CVSS 9.0) في معالج warn-proceed تسمح بتنفيذ أكواد بعيد بدون مصادقة. تشكل هذه الثغرة تهديداً فوري للمنظمات السعودية التي تستخدم Sophos Web Appliance كبوابة تصفية ويب وأمان أساسية. الاستغلال سهل جداً مع وجود أدوات استغلال متاحة للعامة، مما يجعل التصحيح الفوري ضرورياً لجميع المنظمات.

🤖 التحليل الذكي آخر تحليل: Apr 21, 2026 07:54

🇸🇦 التأثير على المملكة العربية السعودية

Critical impact across multiple Saudi sectors: Banking sector (SAMA-regulated institutions) faces direct threat to web gateway security and potential lateral movement into core banking systems. Government entities (NCA oversight) risk compromise of administrative networks and data exfiltration. Telecom operators (STC, Mobily) depend on Sophos appliances for subscriber traffic filtering and DLP. Energy sector (ARAMCO, downstream operators) uses these appliances for OT network segmentation. Healthcare institutions face patient data exposure through compromised web gateways. The centralized nature of web appliances makes them high-value targets for nation-state and cybercriminal actors.

🏢 القطاعات السعودية المتأثرة

Banking and Financial Services Government and Public Administration Telecommunications Energy and Utilities Healthcare Education Retail and E-commerce

🎯 تقنيات MITRE ATT&CK

T1190 - Exploit Public-Facing Application T1059 - Command and Scripting Interpreter T1078 - Valid Accounts T1133 - External Remote Services T1021 - Remote Service Session Initiation T1548 - Abuse Elevation Control Mechanism T1005 - Data from Local System

⚖️ درجة المخاطر السعودية (AI)

9.5

/ 10.0

🔧 Remediation Steps (English)

IMMEDIATE ACTIONS:

1. Identify all Sophos Web Appliance instances in your environment and document their network position

2. Implement network segmentation to restrict access to appliance management interfaces to authorized administrative networks only

3. Enable detailed logging and monitoring of the warn-proceed handler for suspicious requests

4. Review firewall rules to restrict inbound access to web appliance ports from untrusted networks

PATCHING GUIDANCE:

1. Apply Sophos security updates immediately - patches are available for all supported versions

2. Test patches in non-production environment first, but expedite to production within 24-48 hours

3. Verify patch application by checking Sophos version and build numbers post-update

4. Schedule maintenance windows during low-traffic periods to minimize business impact

COMPENSATING CONTROLS (if patching delayed):

1. Deploy Web Application Firewall (WAF) rules to block requests containing command injection patterns to warn-proceed handler

2. Implement rate limiting on warn-proceed endpoint

3. Restrict administrative access to appliance to specific IP ranges

4. Enable enhanced logging for all requests to warn-proceed handler

DETECTION RULES:

1. Monitor for HTTP requests to /warn-proceed with suspicious parameters containing shell metacharacters (|, ;, &, $, `, etc.)

2. Alert on any successful code execution attempts indicated by unusual process spawning from Sophos processes

3. Track failed authentication attempts followed by exploitation attempts

4. Monitor for outbound connections from Sophos appliance to external command and control servers

🔧 خطوات المعالجة (العربية)

الإجراءات الفورية:

1. حدد جميع أجهزة Sophos Web Appliance في بيئتك وقم بتوثيق موقعها في الشبكة

2. طبق تقسيم الشبكة لتقييد الوصول إلى واجهات إدارة الجهاز للشبكات الإدارية المصرح بها فقط

3. فعّل التسجيل والمراقبة المفصلة لمعالج warn-proceed للطلبات المريبة

4. راجع قواعد جدار الحماية لتقييد الوصول الداخلي إلى منافذ الجهاز من الشبكات غير الموثوقة

إرشادات التصحيح:

1. طبق تحديثات أمان Sophos فوراً - التصحيحات متاحة لجميع الإصدارات المدعومة

2. اختبر التصحيحات في بيئة غير الإنتاج أولاً، لكن عجّل بالنقل إلى الإنتاج خلال 24-48 ساعة

3. تحقق من تطبيق التصحيح بفحص أرقام الإصدار والبناء بعد التحديث

4. جدول نوافذ الصيانة خلال فترات حركة المرور المنخفضة لتقليل تأثير الأعمال

الضوابط البديلة (إذا تأخر التصحيح):

1. نشر قواعد جدار تطبيقات الويب (WAF) لحجب الطلبات التي تحتوي على أنماط حقن أوامر إلى معالج warn-proceed

2. طبق تحديد معدل على نقطة نهاية warn-proceed

3. قيّد الوصول الإداري إلى الجهاز لنطاقات IP محددة

4. فعّل التسجيل المحسّن لجميع الطلبات إلى معالج warn-proceed

قواعد الكشف:

1. راقب طلبات HTTP إلى /warn-proceed بمعاملات مريبة تحتوي على أحرف shell (|، ;، &، $، `، إلخ)

2. أصدر تنبيهات عند أي محاولات تنفيذ أكواد ناجحة يشير إليها توليد عمليات غير عادي من عمليات Sophos

3. تتبع محاولات المصادقة الفاشلة متبوعة بمحاولات الاستغلال

4. راقب الاتصالات الصادرة من جهاز Sophos إلى خوادم التحكم والقيادة الخارجية

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

ECC 2024 A.5.1.1 - Information Security Policies and Procedures ECC 2024 A.6.1.1 - Access Control and Authentication ECC 2024 A.8.1.1 - Vulnerability Management ECC 2024 A.8.2.1 - Security Patch Management ECC 2024 A.12.2.1 - Monitoring and Logging

🔵 SAMA CSF

SAMA CSF ID.RA-1 - Asset Management and Inventory SAMA CSF PR.AC-1 - Access Control SAMA CSF PR.PT-2 - Security Patch Management SAMA CSF DE.CM-1 - Detection and Analysis SAMA CSF RS.MI-1 - Incident Response and Recovery

🟡 ISO 27001:2022

ISO 27001:2022 A.5.1 - Policies for Information Security ISO 27001:2022 A.6.1 - Organizational Controls ISO 27001:2022 A.8.1 - Asset Management ISO 27001:2022 A.8.6 - Management of Technical Vulnerabilities ISO 27001:2022 A.12.3 - Logging

🟣 PCI DSS v4.0

PCI DSS 6.2 - Security Patch Management PCI DSS 11.2 - Vulnerability Scanning PCI DSS 10.2 - Logging and Monitoring

🔗 المراجع والمصادر 0

لا توجد مراجع.

📦 المنتجات المتأثرة 1 منتج

Sophos:Web Appliance

📊 CVSS Score

9.0

/ 10.0 — حرج

📋 حقائق سريعة

الخطورة حرج

CVSS Score9.0

EPSS94.30%

اختراق متاح ✓ نعم

تصحيح متاح ✓ نعم

CISA KEV🇺🇸 Yes

تاريخ الإصلاح2023-12-07

تاريخ النشر 2023-11-16

المصدر cisa_kev

المشاهدات 2

🇸🇦 درجة المخاطر السعودية

9.5

/ 10.0 — مخاطر السعودية

أولوية: CRITICAL

🏷️ الوسوم

kev actively-exploited

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2023-1671

انضم إلى سيزو للاستشارات

عرّفنا بنفسك

تسجيل الدخول مطلوب