
imágenes falsas
Más de 4.400 servidores conectados a Internet ejecutan versiones de Sophos Firewall que son vulnerables a un exploit crítico que permite a los piratas informáticos ejecutar código malicioso, advirtió un investigador.
CVE-2022-3236 es una vulnerabilidad de inyección de código que permite la ejecución remota de código en el portal de usuario de Sophos Firewalls y Webadmin. Tiene una calificación de gravedad de 9,8 sobre 10. Cuando Sophos reveló la vulnerabilidad en septiembre pasado, la empresa advirtió que había sido explotada en la naturaleza como un día cero. La empresa de seguridad instó a los clientes a instalar una revisión y luego un parche completo para evitar infecciones.
Según una investigación publicada recientemente, más de 4400 servidores que ejecutan el firewall de Sophos siguen siendo vulnerables. Esto representa alrededor del 6% de todos los firewalls de Sophos, dijo la firma de seguridad VulnCheck, citando datos de una investigación de Shodan.
“Más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236″, escribió el investigador de VulnCheck, Jacob Baines. “Pero alrededor del 93 por ciento está ejecutando versiones aptas para revisiones, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite). Es probable que la mayoría de los servidores aptos para una revisión la hayan recibido, aunque se producen errores. Esto todavía deja más de 4000 firewalls (o alrededor del 6 % de los Sophos Firewall orientados a Internet) ejecutando versiones que no han recibido una revisión y, por lo tanto, son vulnerables”.
El investigador afirmó que pudo crear un exploit funcional para la vulnerabilidad basado en las descripciones técnicas contenidas en este aviso de Zero Day Initiative. La advertencia implícita de la investigación: si el código de explotación se hace público, no hay escasez de servidores que podrían infectarse.
Baines instó a los usuarios del firewall de Sophos a asegurarse de que estén actualizados. También aconsejó a los usuarios de servidores vulnerables que busquen dos indicadores de posible compromiso. El primero es el archivo de registro ubicado en: /logs/csc.log y el segundo es /log/validationError.log. Cuando cualquiera de ellos contiene el campo discriminador en una solicitud de inicio de sesión, es probable que haya un intento, exitoso o fallido, de explotar la vulnerabilidad, dijo.
La ventaja de la investigación es que la explotación masiva no es probable debido a un CAPTCHA que debe completarse durante la autenticación por parte de los clientes web.
“El código vulnerable solo se activa después de que se haya validado el CAPTCHA”, escribió Baines. “Un CAPTCHA fallido hará que el exploit falle. Si bien no es imposible, la resolución programática de CAPTCHA es un obstáculo importante para la mayoría de los atacantes. La mayoría de los Sophos Firewall orientados a Internet parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que, incluso en los momentos más oportunos, es poco probable que esta vulnerabilidad se haya explotado con éxito a gran escala”.