Πάνω από 4.000 συσκευές Sophos Firewall με πρόσβαση στο Διαδίκτυο είναι ιδιαίτερα ευάλωτες σε επιθέσεις που εκμεταλλεύονται μια κρίσιμη ευπάθεια για απομακρυσμένη εκτέλεση κώδικα (RCE).
Το Sophos Firewall είναι μια ολοκληρωμένη λύση ασφάλειας δικτύου που συμβάλλει στην προστασία και την ασφάλεια της επιχείρησής σας από απειλές στον κυβερνοχώρο. Ωστόσο, μπορεί να αντιμετωπίσει κάποια θέματα…
Η Sophos αποκάλυψε αυτή την ευπάθεια (CVE-2022-3236 – code injection) που βρέθηκε στο User Portal και Webadmin του Sophos Firewall τον Σεπτέμβριο. Εκείνη την περίοδο, κυκλοφόρησε επείγουσες επιδιορθώσεις για πολλές εκδόσεις του Sophos Firewall. Τον Δεκέμβριο του 2022, κυκλοφόρησαν και επίσημες διορθώσεις.
Δείτε επίσης: Κακόβουλα πακέτα PyPi ‘Lolip0p’ εγκαθιστούν info-stealing malware
Ζωή Κωνσταντοπούλου: Καταιγιστικές εξελίξεις για τον Alexander Vinnik
SecNewsTV 1 Αυγούστου, 7:56 πμ
12o Infocom Security 2022 - Παρουσιάσεις και συνεντεύξεις
SecNewsTV 7 Ιουλίου, 10:27 μμ
Ζωη Κωνσταντοπούλου: Εξελίξεις στο ΣΤΕ για τον Mr Bitcoin
SecNewsTV 18 Μαΐου, 1:06 μμ
Giannis Andreou LIVE : Crypto, NFT, Metaverse προβλέψεις
SecNewsTV 3 Μαρτίου, 12:57 πμ
LIVE: GoldDigger credential detection & PinataHub platform
SecNewsTV 29 Ιανουαρίου, 1:24 πμ
LIVE : SocialTruth project - Το σύστημα εντοπισμού fake news
SecNewsTV 1 Οκτωβρίου, 12:54 πμ
Η εταιρεία προειδοποίησε ότι η ευπάθεια χρησιμοποιούνταν σε επιθέσεις εναντίον οργανισμών στη Νότια Ασία.
Οι επείγουσες επιδιορθώσεις του Σεπτεμβρίου κυκλοφόρησαν σε όλα τα instances (v19.0 MR1/19.0.1 and older) που επηρεάστηκαν, καθώς οι αυτόματες ενημερώσεις είναι ενεργοποιημένες από προεπιλογή (αυτό αλλάζει στην περίπτωση που ο διαχειριστής έχει απενεργοποιήσει την επιλογή).
Τα Sophos Firewall instances που εκτελούσαν παλαιότερα product versions έπρεπε να αναβαθμιστούν με μη αυτόματο τρόπο σε μια υποστηριζόμενη έκδοση για να λάβουν αυτόματα την επείγουσα επιδιόρθωση για την ευπάθεια CVE-2022-3236.
Οι διαχειριστές που δεν είναι σε θέση να επιδιορθώσουν το εκτεθειμένο λογισμικό μπορούν να μειώσουν τον κίνδυνο επίθεσης απενεργοποιώντας την πρόσβαση WAN σε User Portal και Webadmin.
Χιλιάδες συσκευές εξακολουθούν να είναι ευάλωτες
Μετά από ενδελεχή σάρωση του διαδικτύου για συσκευές Sophos Firewall, ο Jacob Baines, ερευνητής ευπαθειών της VulnCheck, ανακάλυψε ότι από τα περισσότερα από 88.000 συστήματα που βρέθηκαν, περίπου το 6%, δηλαδή πάνω από 4 χιλιάδες, έτρεχαν ξεπερασμένες εκδόσεις χωρίς hotfix και έτσι παρέμεναν ευάλωτα στις επιθέσεις που εκμεταλλεύονται το CVE-2022-3236.
Δείτε επίσης: Zoho RCE: Κυκλοφορεί Proof-of-Concept για επικίνδυνο σφάλμα
“Επιπλέον, περισσότερο από το 99% των Sophos Firewalls που έχουν πρόσβαση στο Διαδίκτυο δεν έχουν αναβαθμιστεί σε εκδόσεις που περιέχουν την επίσημη ενημέρωση κώδικα για το CVE-2022-3236“, δήλωσε ο Baines.
Ευτυχώς, παρά το γεγονός ότι έχει ήδη χρησιμοποιηθεί ως zero-day, δεν έχει δημοσιευτεί ακόμα proof-of-concept exploit για την ευπάθεια CVE-2022-3236.
Από την άλλη πλευρά, ο Baines κατάφερε να αναδημιουργήσει με επιτυχία το exploit από τεχνικά δεδομένα που δόθηκαν από το Zero Day Initiative (ZDI) της Trend Micro. Είναι πιθανό, λοιπόν, ότι και κακόβουλοι φορείς θα μπορούσαν να το κάνουν.
Εάν αυτό συμβεί, είναι πιθανό να πυροδοτήσει μια νέα σειρά επιθέσεων.
Ευτυχώς, όμως, υπάρχει ένας περιορισμός για τους εγκληματίες. Από προεπιλογή, το Sophos Firewall απαιτεί από τους web clients να λύσουν ένα captcha κατά τον έλεγχο ταυτότητας.
Αν δεν λυθεί με επιτυχία, θα αποτύχει και το exploit. Είναι ένα extra εμπόδιο για τους περισσότερους επιτιθέμενους. Τα περισσότερα Sophos Firewalls που έχουν πρόσβαση στο Διαδίκτυο φαίνεται να έχουν ενεργοποιημένo το login captcha, μειώνοντας σημαντικά τον κίνδυνο μαζικών επιθέσεων.
Δείτε επίσης: Nissan North America: Αποκάλυψε παραβίαση δεδομένων πελατών
Sophos Firewall ευπάθειες
Δεν είναι η πρώτη φορά που μια σοβαρή ευπάθεια επηρεάζει το Sophos Firewall. Την περασμένη χρονιά, αναφέρθηκαν αρκετές ευπάθειες.
Για παράδειγμα, το Μάρτιο του 2022, η Sophos αντιμετώπισε μια κρίσιμη ευπάθεια (CVE-2022-1040) στα User Portal και Webadmin του Sophos Firewall, η οποία επέτρεπε στους επιτιθέμενους να παρακάμψουν τα μέτρα ελέγχου ταυτότητας και να εκτελέσουν κώδικα.
Πηγή: www.bleepingcomputer.com