Над 4000 устройства Sophos Firewall са уязвими на RCE атаки

Повече от 4000 устройства Sophos Firewall, изложени на интернет, са уязвими към атаки, насочени към критична уязвимост за отдалечено изпълнение на код (RCE).

Sophos разкри тази уязвимост за инжектиране на код (CVE-2022-3236), открита в потребителския портал и Webadmin на Sophos Firewall през септември, и също така пусна спешни  поправки за множество версии на Sophos Firewall (официалните поправки бяха издадени три месеца по-късно, през декември 2022г).  Устройствата Sophos Firewall, работещи с по-стари версии на продукта, трябваше да бъдат надградени ръчно до поддържана версия, за да получат автоматично  поправката за  CVE-2022-3236.

Администраторите, които не могат да поправят уязвимия софтуер, могат също така да премахнат повърхността за атака, като деактивират WAN достъпа до потребителския портал и Webadmin.

По това време компанията предупреди, че грешката RCE се използва в  при атаки срещу организации от Южна Азия.

Септемврийските горещи поправки се разпространиха до всички засегнати устройства (версии 19.0 MR1/19.0.1 и по-стари), тъй като автоматичните актуализации са разрешени по подразбиране – освен ако администраторът не е забранил опцията.

Хиляди устройства все още са уязвими

При сканиране в интернет на устройства Sophos Firewall изследователят на уязвимостите на VulnCheck Джейкъб Бейнс установи, че от над 88 000 устройства около 6% или над 4000 са с версии, които не са получили  спешната поправка и са уязвими към атаки с CVE-2022-3236.

„Повече от 99% от насочените към интернет защитни стени Sophos не са обновени до версии, съдържащи официалната поправка за CVE-2022-3236“, каза Бейнс.

„Но около 93% от тях работят с версии, които отговарят на условията за получаване на спешна  поправка, а поведението по подразбиране на защитната стена е автоматично да изтегля и прилага горещи поправки (освен ако не е забранено от администратор).

„Това все още оставя повече от 4000 защитни стени (или около 6% от насочените към интернет защитни стени Sophos) с версии, които не са получили  поправка и следователно са уязвими.“

За щастие, въпреки че вече е експлоатиран като нулев ден, все още не е публикувано онлайн доказателство за концептуален експлойт на CVE-2022-3236.

Въпреки това Бейнс е успял да възпроизведе експлойта от техническа информация, споделена от инициативата Zero Day Initiative (ZDI) на Trend Micro, така че вероятно скоро и хакерите ще могат да го направят.

Когато и ако това се случи, това най-вероятно ще доведе до нова вълна от атаки, веднага щом нападателите създадат напълно работеща версия на експлойта и го добавят към своя набор от инструменти.

Бейнс също така добави, че масовата експлоатация вероятно ще бъде възпрепятствана от изискването на Sophos Firewall към уеб клиентите по подразбиране „да решават captcha по време на удостоверяването“.

За да заобиколят това ограничение и да достигнат до уязвимия код, нападателите ще трябва да включат автоматичен CAPTCHA рисолвер.

Грешки в защитната стена на Sophos, които преди това са били обект на атаки

Отстраняването на грешките в защитната стена на Sophos е изключително важно, тъй като това няма да е първият случай на използване на подобна уязвимост в реалността.

През март 2022г. Sophos поправи подобен критичен бъг на Sophos Firewall (CVE-2022-1040) в модулите User Portal и Webadmin, който позволяваше заобикаляне на удостоверяването и атаки с произволно изпълнение на код.

Тя също така беше използвана в атаки като нулев ден от началото на март (приблизително три седмици преди Sophos да пусне кръпките) срещу южноазиатски организации от китайска групировка, проследена като DriftingCloud.

Нулевият ден в XG Firewall SQL injection също е бил използван от хакери от началото на 202 г. за кражба на чувствителни данни като потребителски имена и пароли с помощта на зловредния софтуер Asnarök Trojan.
Същият нулев ден е бил използван за доставяне на рансъмуер Ragnarok в корпоративни мрежи с Windows.

Източник: По материали от Интернет

Подобни публикации

30 май 2023

Бели хакери спечелиха 105 000 долара от Sonos One

Няколко недостатъка в сигурността, открити в безжичните високоговор...

Идва ли Windows 12?

Голямата актуализация на Windows 11 за края на тази година, известн...
30 май 2023

Нов хакерски форум пусна данните на 478 000 чле...

База данни за известния хакерски форум RaidForums е изтекла в интер...
30 май 2023

CosmicEnergy е способен да спре електрическата ...

Руски софтуер, който може да изключва (или включва) промишлени маши...
29 май 2023

AceCryptor: Мощно оръжие на киберпрестъпниците

От 2016 г. насам за опаковане на множество щамове на зловреден софт...

Какво трябва да знаем за сигурността на 5G мреж...

5G променя правилата на играта за мобилната свързаност, включително...
Бъдете социални
Още по темата
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
26/05/2023

Zyxel предупреждава за крит...

Zyxel предупреждава клиентите си за две...
26/05/2023

Грешка в OAuth засяга стоти...

Уязвимост в киберсигурността, открита при прилагането...
Последно добавени
30/05/2023

Бели хакери спечелиха 105 0...

Няколко недостатъка в сигурността, открити в...
30/05/2023

Идва ли Windows 12?

Голямата актуализация на Windows 11 за...
30/05/2023

Нов хакерски форум пусна да...

База данни за известния хакерски форум...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!