Повече от 4000 устройства Sophos Firewall, изложени на интернет, са уязвими към атаки, насочени към критична уязвимост за отдалечено изпълнение на код (RCE).

Sophos разкри тази уязвимост за инжектиране на код (CVE-2022-3236), открита в потребителския портал и Webadmin на Sophos Firewall през септември, и също така пусна спешни  поправки за множество версии на Sophos Firewall (официалните поправки бяха издадени три месеца по-късно, през декември 2022г).  Устройствата Sophos Firewall, работещи с по-стари версии на продукта, трябваше да бъдат надградени ръчно до поддържана версия, за да получат автоматично  поправката за  CVE-2022-3236.

Администраторите, които не могат да поправят уязвимия софтуер, могат също така да премахнат повърхността за атака, като деактивират WAN достъпа до потребителския портал и Webadmin.

По това време компанията предупреди, че грешката RCE се използва в  при атаки срещу организации от Южна Азия.

Септемврийските горещи поправки се разпространиха до всички засегнати устройства (версии 19.0 MR1/19.0.1 и по-стари), тъй като автоматичните актуализации са разрешени по подразбиране – освен ако администраторът не е забранил опцията.

Хиляди устройства все още са уязвими

При сканиране в интернет на устройства Sophos Firewall изследователят на уязвимостите на VulnCheck Джейкъб Бейнс установи, че от над 88 000 устройства около 6% или над 4000 са с версии, които не са получили  спешната поправка и са уязвими към атаки с CVE-2022-3236.

„Повече от 99% от насочените към интернет защитни стени Sophos не са обновени до версии, съдържащи официалната поправка за CVE-2022-3236“, каза Бейнс.

„Но около 93% от тях работят с версии, които отговарят на условията за получаване на спешна  поправка, а поведението по подразбиране на защитната стена е автоматично да изтегля и прилага горещи поправки (освен ако не е забранено от администратор).

„Това все още оставя повече от 4000 защитни стени (или около 6% от насочените към интернет защитни стени Sophos) с версии, които не са получили  поправка и следователно са уязвими.“

За щастие, въпреки че вече е експлоатиран като нулев ден, все още не е публикувано онлайн доказателство за концептуален експлойт на CVE-2022-3236.

Въпреки това Бейнс е успял да възпроизведе експлойта от техническа информация, споделена от инициативата Zero Day Initiative (ZDI) на Trend Micro, така че вероятно скоро и хакерите ще могат да го направят.

Когато и ако това се случи, това най-вероятно ще доведе до нова вълна от атаки, веднага щом нападателите създадат напълно работеща версия на експлойта и го добавят към своя набор от инструменти.

Бейнс също така добави, че масовата експлоатация вероятно ще бъде възпрепятствана от изискването на Sophos Firewall към уеб клиентите по подразбиране „да решават captcha по време на удостоверяването“.

За да заобиколят това ограничение и да достигнат до уязвимия код, нападателите ще трябва да включат автоматичен CAPTCHA рисолвер.

Грешки в защитната стена на Sophos, които преди това са били обект на атаки

Отстраняването на грешките в защитната стена на Sophos е изключително важно, тъй като това няма да е първият случай на използване на подобна уязвимост в реалността.

През март 2022г. Sophos поправи подобен критичен бъг на Sophos Firewall (CVE-2022-1040) в модулите User Portal и Webadmin, който позволяваше заобикаляне на удостоверяването и атаки с произволно изпълнение на код.

Тя също така беше използвана в атаки като нулев ден от началото на март (приблизително три седмици преди Sophos да пусне кръпките) срещу южноазиатски организации от китайска групировка, проследена като DriftingCloud.

Нулевият ден в XG Firewall SQL injection също е бил използван от хакери от началото на 202 г. за кражба на чувствителни данни като потребителски имена и пароли с помощта на зловредния софтуер Asnarök Trojan.
Същият нулев ден е бил използван за доставяне на рансъмуер Ragnarok в корпоративни мрежи с Windows.

Източник: По материали от Интернет

Подобни публикации

23 април 2025

Азиатски престъпни мрежи разширяват дейността с...

Престъпни синдикати от Източна и Югоизточна Азия пренасят доходонос...
22 април 2025

3дравни организации станаха жертва на мащабни п...

Две здравни организации в САЩ потвърдиха, че са станали обект на се...
22 април 2025

Културата – почвата на киберсигурността, а не о...

Когато става въпрос за киберсигурност, хората често си представят с...
22 април 2025

Microsoft извършва най-мащабната реформа в кибе...

Microsoft обяви, че е завършила „най-големия проект за инжене...
22 април 2025

Севернокорейски хакери използват Zoom за кражба...

Севернокорейски киберпрестъпници са усъвършенствали тактиките си за...
22 април 2025

Exaforce с амбиция да преосмисли SOC: 75 милион...

Сан Франсиско се превръща във все по-важен хъб за иновации в киберс...
21 април 2025

Kenzo Security: Иновативна платформа за киберси...

Стартъпът Kenzo Security обяви излизането си от скрит режим, съобща...
Бъдете социални
Още по темата
21/04/2025

Критична уязвимост в Lantro...

Киберсигурността отново е под светлината на...
20/04/2025

Скритата еволюция на зловре...

Днес зловредният софтуер не просто нараства...
16/04/2025

Google и Mozilla пуснаха сп...

На 15 април 2025 г. технологичните...
Последно добавени
23/04/2025

Азиатски престъпни мрежи ра...

Престъпни синдикати от Източна и Югоизточна...
22/04/2025

3дравни организации станаха...

Две здравни организации в САЩ потвърдиха,...
22/04/2025

Културата – почвата на кибе...

Когато става въпрос за киберсигурност, хората...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!