Más de 4.400 servidores expuestos a Web ejecutan versiones de Sophos Firewall que son vulnerables a un exploit crítico que permite a los piratas informáticos ejecutar código malicioso, advirtió un investigador.

CVE-2022-3236 es una vulnerabilidad de inyección de código que permite la ejecución remota de código en el Portal de usuario y Webadmin de Sophos Firewalls. Tiene una calificación de gravedad de 9,8 sobre 10. Cuando Sophos reveló la vulnerabilidad en septiembre pasado, la compañía advirtió que había sido explotada en la naturaleza como un día cero. La empresa de seguridad instó a los clientes a instalar una revisión y, más tarde, un parche completo para evitar infecciones.

De acuerdo a investigación publicada recientemente, más de 4400 servidores que ejecutan el firewall de Sophos siguen siendo vulnerables. Eso representa alrededor del 6 por ciento de todos los firewalls de Sophos, dijo la firma de seguridad VulnCheck, citando cifras de una búsqueda en Shodan.

“Más del 99 % de los Sophos Firewall orientados a Web no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236”, escribió el investigador de VulnCheck, Jacob Baines. “Pero alrededor del 93 % ejecuta versiones que son elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite). Es possible que casi todos los servidores elegibles para una revisión hayan recibido una, aunque ocurren errores. Eso aún deja más de 4000 firewalls (o alrededor del 6 % de los Sophos Firewall orientados a Web) ejecutando versiones que no recibieron una revisión y, por lo tanto, son vulnerables”.

El investigador dijo que pudo crear un exploit funcional para la vulnerabilidad basado en descripciones técnicas en este aviso de la Iniciativa Día Cero. La advertencia implícita de la investigación: si el código de explotación se vuelve público, no hay escasez de servidores que podrían infectarse.

Baines instó a los usuarios del firewall de Sophos a asegurarse de que estén parcheados. También aconsejó a los usuarios de servidores vulnerables que busquen dos indicadores de posible compromiso. El primero es el archivo de registro ubicado en: /logs/csc.log y el segundo es /log/validationError.log. Cuando cualquiera contiene el campo the_discriminator en una solicitud de inicio de sesión, es possible que haya un intento, exitoso o no, de explotar la vulnerabilidad, dijo.

El lado positivo de la investigación es que la explotación masiva no es possible debido a un CAPTCHA que debe completarse durante la autenticación por parte de los clientes net.

“El código susceptible solo se alcanza después de que se valida el CAPTCHA”, escribió Baines. “Un CAPTCHA fallido hará que el exploit falle. Si bien no es imposible, resolver CAPTCHA mediante programación es un gran obstáculo para la mayoría de los atacantes. La mayoría de los Sophos Firewall orientados a Web parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que, incluso en los momentos más oportunos, es poco possible que esta vulnerabilidad se haya explotado con éxito a escala”.