.
Getty Images
Mais de 4.400 servidores expostos à Internet estão executando versões do Sophos Firewall que são vulneráveis a uma exploração crítica que permite que hackers executem códigos maliciosos, alertou um pesquisador.
CVE-2022-3236 é uma vulnerabilidade de injeção de código que permite a execução remota de código no Portal do Usuário e Webadmin do Sophos Firewalls. Ele carrega uma classificação de gravidade de 9,8 em 10. Quando a Sophos divulgou a vulnerabilidade em setembro passado, a empresa alertou que ela havia sido explorada na natureza como um dia zero. A empresa de segurança pediu aos clientes que instalassem um hotfix e, mais tarde, um patch completo para prevenir infecções.
De acordo com uma pesquisa publicada recentemente, mais de 4.400 servidores executando o firewall Sophos permanecem vulneráveis. Isso representa cerca de 6 por cento de todos os firewalls da Sophos, disse a empresa de segurança VulnCheck, citando dados de uma pesquisa sobre Shodan.
“Mais de 99% dos Sophos Firewalls voltados para a Internet não foram atualizados para versões contendo a correção oficial para CVE-2022-3236”, escreveu Jacob Baines, pesquisador da VulnCheck. “Mas cerca de 93% estão executando versões elegíveis para um hotfix, e o comportamento padrão do firewall é baixar e aplicar automaticamente os hotfixes (a menos que desabilitado por um administrador). É provável que quase todos os servidores qualificados para um hotfix tenham recebido um, embora erros aconteçam. Isso ainda deixa mais de 4.000 firewalls (ou cerca de 6% dos Sophos Firewalls voltados para a Internet) executando versões que não receberam um hotfix e, portanto, são vulneráveis.”
O pesquisador disse que conseguiu criar uma exploração funcional para a vulnerabilidade com base nas descrições técnicas deste comunicado da Zero Day Initiative. O aviso implícito da pesquisa: se o código de exploração se tornar público, não faltarão servidores que podem ser infectados.
Baines instou os usuários do firewall Sophos a garantir que eles sejam corrigidos. Ele também aconselhou os usuários de servidores vulneráveis a verificarem dois indicadores de possível comprometimento. O primeiro é o arquivo de log localizado em: /logs/csc.log e o segundo é /log/validationError.log. Quando qualquer um contém o campo the_discriminator em uma solicitação de login, provavelmente houve uma tentativa, bem-sucedida ou não, de explorar a vulnerabilidade, disse ele.
O lado positivo da pesquisa é que a exploração em massa não é provável por causa de um CAPTCHA que deve ser preenchido durante a autenticação por clientes da web.
“O código vulnerável só é alcançado depois que o CAPTCHA é validado”, escreveu Baines. “Um CAPTCHA com falha resultará na falha do exploit. Embora não seja impossível, resolver CAPTCHAs programaticamente é um grande obstáculo para a maioria dos invasores. A maioria dos Sophos Firewalls voltados para a Internet parece ter o CAPTCHA de login habilitado, o que significa que, mesmo nos momentos mais oportunos, é improvável que essa vulnerabilidade tenha sido explorada com sucesso em grande escala.”
.
