İnternet erişimine maruz kalan 4.000'den fazla Sophos güvenlik duvarı cihazı, kritik bir uzaktan kod yürütme (RCE) güvenlik açığını hedefleyen saldırılara karşı savunmasızdır.
Sophos, Eylül ayında Sophos güvenlik duvarının kullanıcı portalında ve Webadmin'de bulunan bu kod enjeksiyon kusurunu (CVE-2022-3236) açıkladı ve ayrıca birden fazla Sophos güvenlik duvarı sürümleri için sıcaklıklar yayınladı (resmi düzeltmeler üç ay sonra Aralık 2022'de yayınlandı).
Şirket, RCE böcekinin Güney Asya'dan kuruluşlara yönelik saldırılarda vahşi doğada sömürüldüğü konusunda uyardı.
Eylül sıcaklıkları, bir yönetici seçeneği devre dışı bırakmadıkça, otomatik güncellemeler varsayılan olarak etkinleştirildiğinden, etkilenen tüm örneklere (V19.0 MR1/19.0.1 ve üstü) ortaya çıktı.
Eski ürün sürümlerini çalıştıran Sophos güvenlik duvarı örnekleri, CVE-2022-3236 hotfix'i otomatik olarak almak için desteklenen bir sürüme manuel olarak yükseltilmelidir.
Savunmasız yazılımı yamalayamayan yöneticiler, WAN'ın kullanıcı portalına ve Webadmin'e erişimini devre dışı bırakarak saldırı yüzeyini de kaldırabilir.
Sophos güvenlik açığı cihazları için interneti tararken, vulncheck güvenlik açığı araştırmacısı Jacob Baines, 88.000'den fazla örnekten yaklaşık% 6 veya 4.000'den fazla bir sıcaklık almayan ve CVE-2022-3236 saldırılara karşı savunmasız olduğunu buldu. .
Baines, "İnternete bakan Sophos güvenlik duvarlarının% 99'undan fazlası CVE-2022-3236 için resmi düzeltmeyi içeren sürümlere yükseltilmedi." Dedi.
"Ancak yaklaşık% 93'ü bir sıcaklık için uygun sürümler çalıştırıyor ve güvenlik duvarının varsayılan davranışları otomatik olarak indirmek ve hotfixes (bir yönetici tarafından devre dışı bırakılmadıkça) uygulamaktır.
Diyerek şöyle devam etti: "Bu hala sıcaklık almayan ve bu nedenle savunmasız olan versiyonları çalıştıran 4.000'den fazla güvenlik duvarı (veya internete bakan Sophos güvenlik duvarlarının yaklaşık% 6'sı) bırakıyor."
Neyse ki, zaten sıfır gün olarak sömürülmesine rağmen, bir CVE-2022-3236 Konsept Kanıtı henüz çevrimiçi olarak yayınlanmadı.
Bununla birlikte, Baines, trend Micro'nun Sıfır Günü Girişimi (ZDI) tarafından paylaşılan teknik bilgilerden istismarları yeniden üretebildi, bu nedenle tehdit aktörlerinin yakında da yapabilmesi muhtemel.
Bu ne zaman ve olursa, tehdit aktörleri istismarın tamamen çalışan bir versiyonunu yaratır ve araç setlerine ekledikten sonra yeni bir saldırı dalgasına yol açacaktır.
Baines ayrıca, kitle sömürüsünün muhtemelen Web müşterilerinin varsayılan olarak "kimlik doğrulama sırasında bir captcha'yı çözmesini" gerektiren Sophos güvenlik duvarı tarafından engelleneceğini de sözlerine ekledi.
Bu sınırlamayı çözmek ve savunmasız koda ulaşmak için saldırganların otomatik bir Captcha çözücüsü içermesi gerekir.
Sophos güvenlik duvarı böcekleri yama yapmak kritik öneme sahiptir, bunun vahşi doğada ilk kez böyle bir güvenlik açığı kullanılmayacaktır.
Mart 2022'de Sophos, kimlik doğrulama baypas ve keyfi kod yürütme saldırılarını sağlayan kullanıcı portalı ve Webadmin modüllerinde benzer bir kritik Sophos güvenlik duvarı hatası (CVE-2022-1040) yamaladı.
Ayrıca, Mart ayı başından beri (Sophos'un yamalar yayınlamasından yaklaşık üç hafta önce) Güney Asya organizasyonlarına karşı Driftingcloud olarak izlenen bir Çin tehdit grubu tarafından sıfır gün olarak saldırılarda kullanıldı.
XG Güvenlik Duvarı SQL enjeksiyonunda sıfır gün, Asnarök Trojan kötü amaçlı yazılımlarını kullanarak kullanıcı adları ve şifreler gibi hassas verileri çalmak için 2020'nin başlarında başlayan tehdit aktörleri tarafından da kötüye kullanıldı.
Aynı sıfır günü, Windows Enterprise Networks'e Ragnarok Ransomware yüklerini teslim etmek için kullanıldı.
Araştırmacılar Kritik Zoho RCE Bug için POC istismarını serbest bırakacak, şimdi Patch
Bilgisayar korsanları, ters kabukları açmak için kontrol web paneli kusurunu kullanır
Auth0, 22.000 proje tarafından kullanılan JsonWebtoken Kütüphanesinde RCE kusurunu düzeltiyor
Ransomware Gang, sunucuları ihlal etmek için yeni Microsoft Exchange istismarını kullanıyor
Bilgisayar korsanları, backdoors yüklemek için kritik vmware rce kusurunu kullanır
Kaynak: Bleeping Computer