Повече от 4000 устройства Sophos Firewall, изложени на интернет, са уязвими към атаки, насочени към критична уязвимост за отдалечено изпълнение на код (RCE).
Sophos разкри тази уязвимост за инжектиране на код (CVE-2022-3236), открита в потребителския портал и Webadmin на Sophos Firewall през септември, и също така пусна спешни поправки за множество версии на Sophos Firewall (официалните поправки бяха издадени три месеца по-късно, през декември 2022г). Устройствата Sophos Firewall, работещи с по-стари версии на продукта, трябваше да бъдат надградени ръчно до поддържана версия, за да получат автоматично поправката за CVE-2022-3236.
Администраторите, които не могат да поправят уязвимия софтуер, могат също така да премахнат повърхността за атака, като деактивират WAN достъпа до потребителския портал и Webadmin.
По това време компанията предупреди, че грешката RCE се използва в при атаки срещу организации от Южна Азия.
Септемврийските горещи поправки се разпространиха до всички засегнати устройства (версии 19.0 MR1/19.0.1 и по-стари), тъй като автоматичните актуализации са разрешени по подразбиране – освен ако администраторът не е забранил опцията.
При сканиране в интернет на устройства Sophos Firewall изследователят на уязвимостите на VulnCheck Джейкъб Бейнс установи, че от над 88 000 устройства около 6% или над 4000 са с версии, които не са получили спешната поправка и са уязвими към атаки с CVE-2022-3236.
„Повече от 99% от насочените към интернет защитни стени Sophos не са обновени до версии, съдържащи официалната поправка за CVE-2022-3236“, каза Бейнс.
„Но около 93% от тях работят с версии, които отговарят на условията за получаване на спешна поправка, а поведението по подразбиране на защитната стена е автоматично да изтегля и прилага горещи поправки (освен ако не е забранено от администратор).
„Това все още оставя повече от 4000 защитни стени (или около 6% от насочените към интернет защитни стени Sophos) с версии, които не са получили поправка и следователно са уязвими.“
За щастие, въпреки че вече е експлоатиран като нулев ден, все още не е публикувано онлайн доказателство за концептуален експлойт на CVE-2022-3236.
Въпреки това Бейнс е успял да възпроизведе експлойта от техническа информация, споделена от инициативата Zero Day Initiative (ZDI) на Trend Micro, така че вероятно скоро и хакерите ще могат да го направят.
Когато и ако това се случи, това най-вероятно ще доведе до нова вълна от атаки, веднага щом нападателите създадат напълно работеща версия на експлойта и го добавят към своя набор от инструменти.
Бейнс също така добави, че масовата експлоатация вероятно ще бъде възпрепятствана от изискването на Sophos Firewall към уеб клиентите по подразбиране „да решават captcha по време на удостоверяването“.
За да заобиколят това ограничение и да достигнат до уязвимия код, нападателите ще трябва да включат автоматичен CAPTCHA рисолвер.
Отстраняването на грешките в защитната стена на Sophos е изключително важно, тъй като това няма да е първият случай на използване на подобна уязвимост в реалността.
През март 2022г. Sophos поправи подобен критичен бъг на Sophos Firewall (CVE-2022-1040) в модулите User Portal и Webadmin, който позволяваше заобикаляне на удостоверяването и атаки с произволно изпълнение на код.
Тя също така беше използвана в атаки като нулев ден от началото на март (приблизително три седмици преди Sophos да пусне кръпките) срещу южноазиатски организации от китайска групировка, проследена като DriftingCloud.
Нулевият ден в XG Firewall SQL injection също е бил използван от хакери от началото на 202 г. за кражба на чувствителни данни като потребителски имена и пароли с помощта на зловредния софтуер Asnarök Trojan.
Същият нулев ден е бил използван за доставяне на рансъмуер Ragnarok в корпоративни мрежи с Windows.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.