Повече от 4000 устройства Sophos Firewall, изложени на интернет, са уязвими към атаки, насочени към критична уязвимост за отдалечено изпълнение на код (RCE).

Sophos разкри тази уязвимост за инжектиране на код (CVE-2022-3236), открита в потребителския портал и Webadmin на Sophos Firewall през септември, и също така пусна спешни  поправки за множество версии на Sophos Firewall (официалните поправки бяха издадени три месеца по-късно, през декември 2022г).  Устройствата Sophos Firewall, работещи с по-стари версии на продукта, трябваше да бъдат надградени ръчно до поддържана версия, за да получат автоматично  поправката за  CVE-2022-3236.

Администраторите, които не могат да поправят уязвимия софтуер, могат също така да премахнат повърхността за атака, като деактивират WAN достъпа до потребителския портал и Webadmin.

По това време компанията предупреди, че грешката RCE се използва в  при атаки срещу организации от Южна Азия.

Септемврийските горещи поправки се разпространиха до всички засегнати устройства (версии 19.0 MR1/19.0.1 и по-стари), тъй като автоматичните актуализации са разрешени по подразбиране – освен ако администраторът не е забранил опцията.

Хиляди устройства все още са уязвими

При сканиране в интернет на устройства Sophos Firewall изследователят на уязвимостите на VulnCheck Джейкъб Бейнс установи, че от над 88 000 устройства около 6% или над 4000 са с версии, които не са получили  спешната поправка и са уязвими към атаки с CVE-2022-3236.

„Повече от 99% от насочените към интернет защитни стени Sophos не са обновени до версии, съдържащи официалната поправка за CVE-2022-3236“, каза Бейнс.

„Но около 93% от тях работят с версии, които отговарят на условията за получаване на спешна  поправка, а поведението по подразбиране на защитната стена е автоматично да изтегля и прилага горещи поправки (освен ако не е забранено от администратор).

„Това все още оставя повече от 4000 защитни стени (или около 6% от насочените към интернет защитни стени Sophos) с версии, които не са получили  поправка и следователно са уязвими.“

За щастие, въпреки че вече е експлоатиран като нулев ден, все още не е публикувано онлайн доказателство за концептуален експлойт на CVE-2022-3236.

Въпреки това Бейнс е успял да възпроизведе експлойта от техническа информация, споделена от инициативата Zero Day Initiative (ZDI) на Trend Micro, така че вероятно скоро и хакерите ще могат да го направят.

Когато и ако това се случи, това най-вероятно ще доведе до нова вълна от атаки, веднага щом нападателите създадат напълно работеща версия на експлойта и го добавят към своя набор от инструменти.

Бейнс също така добави, че масовата експлоатация вероятно ще бъде възпрепятствана от изискването на Sophos Firewall към уеб клиентите по подразбиране „да решават captcha по време на удостоверяването“.

За да заобиколят това ограничение и да достигнат до уязвимия код, нападателите ще трябва да включат автоматичен CAPTCHA рисолвер.

Грешки в защитната стена на Sophos, които преди това са били обект на атаки

Отстраняването на грешките в защитната стена на Sophos е изключително важно, тъй като това няма да е първият случай на използване на подобна уязвимост в реалността.

През март 2022г. Sophos поправи подобен критичен бъг на Sophos Firewall (CVE-2022-1040) в модулите User Portal и Webadmin, който позволяваше заобикаляне на удостоверяването и атаки с произволно изпълнение на код.

Тя също така беше използвана в атаки като нулев ден от началото на март (приблизително три седмици преди Sophos да пусне кръпките) срещу южноазиатски организации от китайска групировка, проследена като DriftingCloud.

Нулевият ден в XG Firewall SQL injection също е бил използван от хакери от началото на 202 г. за кражба на чувствителни данни като потребителски имена и пароли с помощта на зловредния софтуер Asnarök Trojan.
Същият нулев ден е бил използван за доставяне на рансъмуер Ragnarok в корпоративни мрежи с Windows.

Източник: По материали от Интернет

Подобни публикации

24 януари 2025

Google ще инвестира още 1 милиард долара в Anth...

Google обяви, че планира да увеличи инвестициите си в Anthropic, сл...
24 януари 2025

DryRun набира 8,7 милиона долара начално финанс...

В сряда DryRun Security обяви, че е набрала 8,7 млн. долара в начал...
24 януари 2025

Новият Identity Check в Android заключва настро...

Google обяви нова функция за сигурност на Android „Проверка на само...
24 януари 2025

QNAP отстранява 6 уязвимости на Rsync в приложе...

QNAP е отстранила шест уязвимости в rsync, които могат да позволят ...
24 януари 2025

Инженер по ИИ е сред най-бързо развиващите се п...

Инженер по изкуствен интелект (ИИ) е сред най-търсените длъжности н...
24 януари 2025

Шефът на НАТО бърза с внедряването на ИИ във во...

Световният икономически форум предложи поглед към бъдещето – ...
24 януари 2025

Цялото население на Грузия е изложено на риск п...

База данни с милиони данни за грузински граждани се появява в облак...
24 януари 2025

Верижно свързани уязвимости на Ivanti в кибератаки

Кибератакистите използват нов вектор на заплаха, включващ няколко у...
24 януари 2025

Axoflow набира 7 млн. долара за платформа за ку...

Платформата за куриране на данни за сигурността Axoflow обяви в сря...
Бъдете социални
Още по темата
24/01/2025

QNAP отстранява 6 уязвимост...

QNAP е отстранила шест уязвимости в...
24/01/2025

Верижно свързани уязвимости...

Кибератакистите използват нов вектор на заплаха,...
23/01/2025

SonicWall научава от Micros...

В сряда SonicWall благодари на Microsoft,...
Последно добавени
24/01/2025

Google ще инвестира още 1 м...

Google обяви, че планира да увеличи...
24/01/2025

DryRun набира 8,7 милиона д...

В сряда DryRun Security обяви, че...
24/01/2025

Новият Identity Check в And...

Google обяви нова функция за сигурност...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!