Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode
Inicio Noticias Más de 4000 dispositivos Sophos Firewall vulnerables a ataques RCE

Más de 4000 dispositivos Sophos Firewall vulnerables a ataques RCE

por Dragora

Más de 4000 dispositivos Sophos Firewall expuestos al acceso a Internet son vulnerables a ataques dirigidos a una vulnerabilidad crítica de ejecución remota de código (RCE).

Sophos reveló esta falla de inyección de código ( CVE-2022-3236 ) encontrada en el Portal de usuario y Webadmin de Sophos Firewall en septiembre y también lanzó revisiones para varias versiones de Sophos Firewall (las correcciones oficiales se emitieron tres meses después, en diciembre de 2022).

La compañía advirtió en ese momento que el error RCE estaba siendo explotado de forma salvaje en ataques contra organizaciones del sur de Asia.

Las revisiones de septiembre se implementaron en todas las instancias afectadas (v19.0 MR1/19.0.1 y anteriores) ya que las actualizaciones automáticas están habilitadas de manera predeterminada, a menos que un administrador deshabilite la opción.

Las instancias de Sophos Firewall que ejecutaban versiones anteriores del producto debían actualizarse manualmente a una versión compatible para recibir el hotfix CVE-2022-3236 automáticamente.

 

Sophos

 

Los administradores que no pueden parchear el software vulnerable también pueden eliminar la superficie de ataque al deshabilitar el acceso WAN al Portal de usuario y Webadmin.

Miles de dispositivos siguen siendo vulnerables

Mientras escaneaba Internet en busca de dispositivos Sophos Firewall, el investigador de vulnerabilidades de VulnCheck, Jacob Baines, descubrió que de más de 88 000 instancias, alrededor del 6 % o más de 4000 ejecutan versiones que no han recibido una revisión y son vulnerables a los ataques CVE-2022-3236. .

«Más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236″, dijo Baines .

«Pero alrededor del 93% ejecuta versiones que son elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite).

«Eso todavía deja más de 4.000 firewalls (o alrededor del 6% de los Sophos Firewall orientados a Internet) ejecutando versiones que no recibieron una revisión y, por lo tanto, son vulnerables».

Afortunadamente, a pesar de que ya se ha explotado como un día cero, aún no se ha publicado en línea un exploit de prueba de concepto CVE-2022-3236.

Sin embargo, Baines pudo reproducir el exploit a partir de la información técnica compartida por Zero Day Initiative (ZDI) de Trend Micro, por lo que es probable que los actores de amenazas pronto también puedan hacerlo.

Cuando esto suceda, y si esto sucede, lo más probable es que conduzca a una nueva ola de ataques tan pronto como los actores de amenazas creen una versión completamente funcional del exploit y la agreguen a su conjunto de herramientas.

Baines también agregó que la explotación masiva probablemente se vería obstaculizada por Sophos Firewall que requiere que los clientes web de manera predeterminada «resuelvan un captcha durante la autenticación».

Para solucionar esta limitación y llegar al código vulnerable, los atacantes tendrían que incluir un solucionador de CAPTCHA automatizado.

 

Desafío CAPTCHA de Sophos Firewall
Desafío CAPTCHA de Sophos Firewall (Jacob Baines)

​Errores de Sophos Firewall previamente atacados

Parchar los errores de Sophos Firewall es de vital importancia, dado que esta no sería la primera vez que se explota una vulnerabilidad de este tipo.

En marzo de 2022, Sophos corrigió un error crítico similar de Sophos Firewall (CVE-2022-1040) en los módulos User Portal y Webadmin que permitía la omisión de autenticación y ataques de ejecución de código arbitrario.

También fue explotado en ataques como un día cero desde principios de marzo (aproximadamente tres semanas antes de que Sophos lanzara parches) contra organizaciones del sur de Asia por parte de un grupo de amenazas chino rastreado como DriftingCloud.

Los actores de amenazas también abusaron de una inyección SQL de día cero en XG Firewall a principios de 2020 para robar datos confidenciales, como nombres de usuario y contraseñas, utilizando el malware troyano Asnarök. .

El mismo día cero se aprovechó para entregar cargas útiles de ransomware Ragnarok en las redes empresariales de Windows.

Fuente: https://www.bleepingcomputer.com

You may also like

Dejar Comentario

Click to listen highlighted text!