.
Mais de 4.000 firewalls Sophos voltados para o público permanecem vulneráveis a um bug crítico de execução remota de código divulgado no ano passado e corrigido meses depois, de acordo com pesquisadores de segurança.
A falha, CVE-2022-3236, já havia sido explorada como um dia zero quando a Sophos Publicados um comunicado de segurança sobre a vulnerabilidade em setembro de 2022. Na época, o fornecedor disse o buraco foi abusado para atingir “um pequeno conjunto de organizações específicas, principalmente na região do sul da Ásia”.
A vulnerabilidade pode ser explorada para obter o controle de um dispositivo, que pode ser comandado para sondar e atacar a rede ou alvos externos.
A Sophos lançou inicialmente um hotfix para algumas versões do firewall e, em seguida, lançou um atualização formal que eliminou o bug em dezembro de 2022.
Apesar dessa atualização de software, no entanto, “mais de 99 por cento dos Sophos Firewalls voltados para a Internet não foram atualizados para versões contendo a correção oficial para CVE-2022-3236”, de acordo com Pesquisadores do VulnCheckque escreveu sua própria exploração de prova de conceito e escaneou os firewalls Sophos voltados para a Internet para determinar a probabilidade de exploração em massa.
Cerca de 93% dos firewalls são elegíveis para o hotfix, que é aplicado por padrão, a menos que seja desabilitado por um administrador. Portanto, esses firewalls provavelmente receberam a correção, “embora erros aconteçam”, escreveu Jacob Baines, pesquisador do VulnCheck.
“Isso ainda deixa mais de 4.000 firewalls (ou cerca de 6% dos Sophos Firewalls voltados para a Internet) executando versões que não receberam um hotfix e, portanto, são vulneráveis”, disse ele.
No final da semana passada, não existia nenhuma exploração pública de prova de conceito para CVE-2022-3236, de acordo com Baines. Mas isso não deve fornecer muito conforto para quem está executando versões não corrigidas. Como observou o caçador de insetos: “é apenas uma questão de tempo até que algo se torne público”.
A loja de segurança também publicou alguns arquivos de log com indicadores de tentativas de exploração, que valem a pena conferir para ajudar a determinar se seu firewall foi comprometido. Com ambos, a presença do campo “_discriminator” na solicitação de login “é suficiente para detectar uma tentativa de exploração”, de acordo com os caçadores de ameaças.
Além disso – aqui está o lado positivo – há limites para a exploração em massa graças a um CAPTCHA exigido por padrão para obter acesso. Um invasor só pode acessar o código com bugs após concluir com êxito o teste I-am-a-human.
Esta é uma notícia muito boa para as mais de 4.000 caixas que executam o código Sophos vulnerável.
“Embora não seja impossível, resolver CAPTCHAs programaticamente é um grande obstáculo para a maioria dos invasores”, disse Baines. “A maioria dos Sophos Firewalls voltados para a Internet parece ter o captcha de login ativado, o que significa que, mesmo nos momentos mais oportunos, é improvável que essa vulnerabilidade tenha sido explorada com sucesso em grande escala”. ®
.
