Sophos Firewall: Ευπάθεια θέτει σε κίνδυνο χιλιάδες συσκευές

1 year ago 81

Πάνω από 4.000 συσκευές Sophos Firewall με πρόσβαση στο Διαδίκτυο είναι ιδιαίτερα ευάλωτες σε επιθέσεις που εκμεταλλεύονται μια κρίσιμη ευπάθεια για απομακρυσμένη εκτέλεση κώδικα (RCE).

Sophos Firewall ευπάθεια

Το Sophos Firewall είναι μια ολοκληρωμένη λύση ασφάλειας δικτύου που συμβάλλει στην προστασία και την ασφάλεια της επιχείρησής σας από απειλές στον κυβερνοχώρο. Ωστόσο, μπορεί να αντιμετωπίσει κάποια θέματα…

Η Sophos αποκάλυψε αυτή την ευπάθεια (CVE-2022-3236 – code injection) που βρέθηκε στο User Portal και Webadmin του Sophos Firewall τον Σεπτέμβριο. Εκείνη την περίοδο, κυκλοφόρησε επείγουσες επιδιορθώσεις για πολλές εκδόσεις του Sophos Firewall. Τον Δεκέμβριο του 2022, κυκλοφόρησαν και επίσημες διορθώσεις.

Δείτε επίσης: Κακόβουλα πακέτα PyPi ‘Lolip0p’ εγκαθιστούν info-stealing malware

Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik

SecNewsTV 1 Αυγούστου, 7:56 πμ

12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις

SecNewsTV 7 Ιουλίου, 10:27 μμ

Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin

SecNewsTV 18 Μαΐου, 1:06 μμ

Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις

SecNewsTV 3 Μαρτίου, 12:57 πμ

LIVE: GoldDigger credential detection & PinataHub platform

SecNewsTV 29 Ιανουαρίου, 1:24 πμ

LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news

SecNewsTV 1 Οκτωβρίου, 12:54 πμ

Η εταιρεία προειδοποίησε ότι η ευπάθεια χρησιμοποιούνταν σε επιθέσεις εναντίον οργανισμών στη Νότια Ασία.

Οι επείγουσες επιδιορθώσεις του Σεπτεμβρίου κυκλοφόρησαν σε όλα τα instances (v19.0 MR1/19.0.1 and older) που επηρεάστηκαν, καθώς οι αυτόματες ενημερώσεις είναι ενεργοποιημένες από προεπιλογή (αυτό αλλάζει στην περίπτωση που ο διαχειριστής έχει απενεργοποιήσει την επιλογή).

Τα Sophos Firewall instances που εκτελούσαν παλαιότερα product versions έπρεπε να αναβαθμιστούν με μη αυτόματο τρόπο σε μια υποστηριζόμενη έκδοση για να λάβουν αυτόματα την επείγουσα επιδιόρθωση για την ευπάθεια CVE-2022-3236.

Οι διαχειριστές που δεν είναι σε θέση να επιδιορθώσουν το εκτεθειμένο λογισμικό μπορούν να μειώσουν τον κίνδυνο επίθεσης απενεργοποιώντας την πρόσβαση WAN σε User Portal και Webadmin.

Χιλιάδες συσκευές εξακολουθούν να είναι ευάλωτες

Μετά από ενδελεχή σάρωση του διαδικτύου για συσκευές Sophos Firewall, ο Jacob Baines, ερευνητής ευπαθειών της VulnCheck, ανακάλυψε ότι από τα περισσότερα από 88.000 συστήματα που βρέθηκαν, περίπου το 6%, δηλαδή πάνω από 4 χιλιάδες, έτρεχαν ξεπερασμένες εκδόσεις χωρίς hotfix και έτσι παρέμεναν ευάλωτα στις επιθέσεις που εκμεταλλεύονται το CVE-2022-3236.

Δείτε επίσης: Zoho RCE: Κυκλοφορεί Proof-of-Concept για επικίνδυνο σφάλμα

Επιπλέον, περισσότερο από το 99% των Sophos Firewalls που έχουν πρόσβαση στο Διαδίκτυο δεν έχουν αναβαθμιστεί σε εκδόσεις που περιέχουν την επίσημη ενημέρωση κώδικα για το CVE-2022-3236“, δήλωσε ο Baines.

Ευτυχώς, παρά το γεγονός ότι έχει ήδη χρησιμοποιηθεί ως zero-day, δεν έχει δημοσιευτεί ακόμα proof-of-concept exploit για την ευπάθεια CVE-2022-3236.

Από την άλλη πλευρά, ο Baines κατάφερε να αναδημιουργήσει με επιτυχία το exploit από τεχνικά δεδομένα που δόθηκαν από το Zero Day Initiative (ZDI) της Trend Micro. Είναι πιθανό, λοιπόν, ότι και κακόβουλοι φορείς θα μπορούσαν να το κάνουν.

Εάν αυτό συμβεί, είναι πιθανό να πυροδοτήσει μια νέα σειρά επιθέσεων.

Ευτυχώς, όμως, υπάρχει ένας περιορισμός για τους εγκληματίες. Από προεπιλογή, το Sophos Firewall απαιτεί από τους web clients να λύσουν ένα captcha κατά τον έλεγχο ταυτότητας.

Αν δεν λυθεί με επιτυχία, θα αποτύχει και το exploit. Είναι ένα extra εμπόδιο για τους περισσότερους επιτιθέμενους. Τα περισσότερα Sophos Firewalls που έχουν πρόσβαση στο Διαδίκτυο φαίνεται να έχουν ενεργοποιημένo το login captcha, μειώνοντας σημαντικά τον κίνδυνο μαζικών επιθέσεων.

Δείτε επίσης: Nissan North America: Αποκάλυψε παραβίαση δεδομένων πελατών

​Sophos Firewall ευπάθειες

Δεν είναι η πρώτη φορά που μια σοβαρή ευπάθεια επηρεάζει το Sophos Firewall. Την περασμένη χρονιά, αναφέρθηκαν αρκετές ευπάθειες.

Για παράδειγμα, το Μάρτιο του 2022, η Sophos αντιμετώπισε μια κρίσιμη ευπάθεια (CVE-2022-1040) στα User Portal και Webadmin του Sophos Firewall, η οποία επέτρεπε στους επιτιθέμενους να παρακάμψουν τα μέτρα ελέγχου ταυτότητας και να εκτελέσουν κώδικα.

Πηγή: www.bleepingcomputer.com

Digital Fortress

Read Original