Търсене
Close this search box.

Повече от 4000 устройства Sophos Firewall, изложени на интернет, са уязвими към атаки, насочени към критична уязвимост за отдалечено изпълнение на код (RCE).

Sophos разкри тази уязвимост за инжектиране на код (CVE-2022-3236), открита в потребителския портал и Webadmin на Sophos Firewall през септември, и също така пусна спешни  поправки за множество версии на Sophos Firewall (официалните поправки бяха издадени три месеца по-късно, през декември 2022г).  Устройствата Sophos Firewall, работещи с по-стари версии на продукта, трябваше да бъдат надградени ръчно до поддържана версия, за да получат автоматично  поправката за  CVE-2022-3236.

Администраторите, които не могат да поправят уязвимия софтуер, могат също така да премахнат повърхността за атака, като деактивират WAN достъпа до потребителския портал и Webadmin.

По това време компанията предупреди, че грешката RCE се използва в  при атаки срещу организации от Южна Азия.

Септемврийските горещи поправки се разпространиха до всички засегнати устройства (версии 19.0 MR1/19.0.1 и по-стари), тъй като автоматичните актуализации са разрешени по подразбиране – освен ако администраторът не е забранил опцията.

Хиляди устройства все още са уязвими

При сканиране в интернет на устройства Sophos Firewall изследователят на уязвимостите на VulnCheck Джейкъб Бейнс установи, че от над 88 000 устройства около 6% или над 4000 са с версии, които не са получили  спешната поправка и са уязвими към атаки с CVE-2022-3236.

„Повече от 99% от насочените към интернет защитни стени Sophos не са обновени до версии, съдържащи официалната поправка за CVE-2022-3236“, каза Бейнс.

„Но около 93% от тях работят с версии, които отговарят на условията за получаване на спешна  поправка, а поведението по подразбиране на защитната стена е автоматично да изтегля и прилага горещи поправки (освен ако не е забранено от администратор).

„Това все още оставя повече от 4000 защитни стени (или около 6% от насочените към интернет защитни стени Sophos) с версии, които не са получили  поправка и следователно са уязвими.“

За щастие, въпреки че вече е експлоатиран като нулев ден, все още не е публикувано онлайн доказателство за концептуален експлойт на CVE-2022-3236.

Въпреки това Бейнс е успял да възпроизведе експлойта от техническа информация, споделена от инициативата Zero Day Initiative (ZDI) на Trend Micro, така че вероятно скоро и хакерите ще могат да го направят.

Когато и ако това се случи, това най-вероятно ще доведе до нова вълна от атаки, веднага щом нападателите създадат напълно работеща версия на експлойта и го добавят към своя набор от инструменти.

Бейнс също така добави, че масовата експлоатация вероятно ще бъде възпрепятствана от изискването на Sophos Firewall към уеб клиентите по подразбиране „да решават captcha по време на удостоверяването“.

За да заобиколят това ограничение и да достигнат до уязвимия код, нападателите ще трябва да включат автоматичен CAPTCHA рисолвер.

Грешки в защитната стена на Sophos, които преди това са били обект на атаки

Отстраняването на грешките в защитната стена на Sophos е изключително важно, тъй като това няма да е първият случай на използване на подобна уязвимост в реалността.

През март 2022г. Sophos поправи подобен критичен бъг на Sophos Firewall (CVE-2022-1040) в модулите User Portal и Webadmin, който позволяваше заобикаляне на удостоверяването и атаки с произволно изпълнение на код.

Тя също така беше използвана в атаки като нулев ден от началото на март (приблизително три седмици преди Sophos да пусне кръпките) срещу южноазиатски организации от китайска групировка, проследена като DriftingCloud.

Нулевият ден в XG Firewall SQL injection също е бил използван от хакери от началото на 202 г. за кражба на чувствителни данни като потребителски имена и пароли с помощта на зловредния софтуер Asnarök Trojan.
Същият нулев ден е бил използван за доставяне на рансъмуер Ragnarok в корпоративни мрежи с Windows.

Източник: По материали от Интернет

Подобни публикации

16 септември 2024

Може ли дълбоките технологии да бъдат следващия...

В началото на 2000-те години Естония бързо се модернизира, отърсвай...
16 септември 2024

Отборите от NFL блокират кибератаките в дигитал...

През изминалия уикенд Националната футболна лига стартира своя сезо...
16 септември 2024

Google прави големи разходи за технология за ул...

Технологичният гигант сключи нова сделка за  улавяне на 100 000 тон...
16 септември 2024

Всичко, което трябва да знаете за поредния проб...

Fortinet твърди, че няма доказателства за злонамерена дейност, насо...
16 септември 2024

Canva се похвали с новите си функции, след коет...

Цените на абонамента за Canva ще се повишат за корпоративните потре...
16 септември 2024

Уязвимостта на Windows злоупотребява с брайлови...

Неотдавна поправената уязвимост „Windows MSHTML spoofing vulnerabil...
15 септември 2024

Microsoft и Quantinuum комбинират HPC, AI и ква...

Технологичният гигант Microsoft и водещият разработчик на квантови ...
Бъдете социални
Още по темата
13/09/2024

Palo Alto Networks поправя ...

В сряда Palo Alto Networks информира...
12/09/2024

Intel предупреждава за над ...

Във вторник Intel публикува препоръки за...
12/09/2024

Ivanti поправя критични уяз...

Доставчикът на ИТ софтуер Ivanti обяви...
Последно добавени
16/09/2024

Може ли дълбоките технологи...

В началото на 2000-те години Естония...
16/09/2024

Отборите от NFL блокират ки...

През изминалия уикенд Националната футболна лига...
16/09/2024

Google прави големи разходи...

Технологичният гигант сключи нова сделка за ...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!