Getty Biller
Méi wéi 4,400 Internet-exposéiert Server lafen Versioune vun der Sophos Firewall déi vulnérabel ass fir e kriteschen Ausbeutung deen Hacker erlaabt béisaarteg Code auszeféieren, huet e Fuerscher gewarnt.
CVE-2022-3236 ass eng Codeinjektiouns Schwachstelle déi d’Remote Code Ausféierung am User Portal a Webadmin vu Sophos Firewalls erlaabt. Et huet eng Gravitéit Bewäertung vun 9,8 aus 10. Wéi Sophos d’Schwachheet am leschte September verëffentlecht huet, huet d’Firma gewarnt datt et an der Wild als Nulldag exploitéiert gouf. D’Sécherheetsfirma huet d’Cliente gefuerdert fir e Hotfix z’installéieren a spéider e komplette Patch fir Infektioun ze vermeiden.
Laut kierzlech publizéierter Fuerschung, bleiwen méi wéi 4,400 Serveren, déi d’Sophos Firewall lafen, vulnerabel. Dat stellt ongeféier 6 Prozent vun alle Sophos Firewalls aus, sot d’Sécherheetsfirma VulnCheck, zitéiert Zuelen aus enger Sich op Shodan.
“Méi wéi 99% vun Internet-konfrontéiert Sophos Firewalls goufen net op Versiounen upgradéiert mat der offizieller Fix fir CVE-2022-3236”, huet de VulnCheck Fuerscher Jacob Baines geschriwwen. “Awer ongeféier 93% lafen Versiounen déi fir eng Hotfix berechtegt sinn, an d’Standardverhalen fir d’Firewall ass automatesch Hotfixes erofzelueden an z’applizéieren (ausser wann et vun engem Administrateur deaktivéiert ass). Et ass méiglech datt bal all Server, déi fir e Hotfix berechtegt sinn, een kritt hunn, obwuel Feeler geschéien. Dat léisst nach ëmmer méi wéi 4.000 Firewalls (oder ongeféier 6% vun Internet-konfrontéiert Sophos Firewalls) lafen Versiounen déi keng Hotfix kruten an dofir vulnérabel sinn.
De Fuerscher sot datt hie fäeg wier en Aarbechtsausbeutung fir d’Schwachheet ze kreéieren baséiert op technesche Beschreiwungen an dëser Berodung vun der Zero Day Initiative. D’implizit Warnung vun der Fuerschung: Sollt de Code ausnotzen ëffentlech ginn, gëtt et kee Mangel u Serveren déi infizéiert kënne sinn.
Baines huet d’Sophos Firewall Benotzer gefuerdert fir sécherzestellen datt se gepatcht sinn. Hien huet och Benotzer vu vulnérabele Serveren ugeroden fir zwee Indikatoren vu méigleche Kompromëss ze kontrolléieren. Déi éischt ass d’Logbuch Datei op: /logs/csc.log, an déi zweet ass /log/validationError.log. Wann entweder den_discriminator Feld an enger Login Ufro enthält, gouf et wahrscheinlech e Versuch, erfollegräich oder soss, d’Schwachheet auszenotzen, sot hien.
D’Sëlwerlinn an der Fuerschung ass datt d’Massexploitatioun net méiglech ass wéinst engem CAPTCHA deen während der Authentifikatioun vu Webclienten ofgeschloss muss ginn.
“De vulnérable Code gëtt eréischt erreecht nodeems de CAPTCHA validéiert ass”, huet Baines geschriwwen. “E gescheitert CAPTCHA wäert zu der Ausbeutung versoen. Och wann et net onméiglech ass, programmatesch léisen CAPTCHAs ass eng héich Hürde fir déi meescht Ugräifer. Déi meescht Internet-konfrontéiert Sophos Firewalls schéngen de Login CAPTCHA aktivéiert ze hunn, dat heescht, och zu de meeschte Geleeënheeten, dës Schwachstelle war onwahrscheinlech op enger Skala erfollegräich exploitéiert ze ginn.