Más de 4400 servidores de firewall de Sophos siguen siendo vulnerables a vulnerabilidades críticas

on

|

views

and

comments


La fotografía muestra un escáner de seguridad extrayendo virus de una cadena de código binario.  Mano con la palabra

imágenes falsas

Más de 4.400 servidores expuestos a Web ejecutan versiones de Sophos Firewall que son vulnerables a un exploit crítico que permite a los piratas informáticos ejecutar código malicioso, advirtió un investigador.

CVE-2022-3236 es una vulnerabilidad de inyección de código que permite la ejecución remota de código en el Portal de usuario y Webadmin de Sophos Firewalls. Tiene una calificación de gravedad de 9,8 sobre 10. Cuando Sophos reveló la vulnerabilidad en septiembre pasado, la compañía advirtió que había sido explotada en la naturaleza como un día cero. La empresa de seguridad instó a los clientes a instalar una revisión y, más tarde, un parche completo para evitar infecciones.

De acuerdo a investigación publicada recientemente, más de 4400 servidores que ejecutan el firewall de Sophos siguen siendo vulnerables. Eso representa alrededor del 6 por ciento de todos los firewalls de Sophos, dijo la firma de seguridad VulnCheck, citando cifras de una búsqueda en Shodan.

“Más del 99 % de los Sophos Firewall orientados a Web no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236”, escribió el investigador de VulnCheck, Jacob Baines. “Pero alrededor del 93 % ejecuta versiones que son elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite). Es possible que casi todos los servidores elegibles para una revisión hayan recibido una, aunque ocurren errores. Eso aún deja más de 4000 firewalls (o alrededor del 6 % de los Sophos Firewall orientados a Web) ejecutando versiones que no recibieron una revisión y, por lo tanto, son vulnerables”.

El investigador dijo que pudo crear un exploit funcional para la vulnerabilidad basado en descripciones técnicas en este aviso de la Iniciativa Día Cero. La advertencia implícita de la investigación: si el código de explotación se vuelve público, no hay escasez de servidores que podrían infectarse.

Baines instó a los usuarios del firewall de Sophos a asegurarse de que estén parcheados. También aconsejó a los usuarios de servidores vulnerables que busquen dos indicadores de posible compromiso. El primero es el archivo de registro ubicado en: /logs/csc.log y el segundo es /log/validationError.log. Cuando cualquiera contiene el campo the_discriminator en una solicitud de inicio de sesión, es possible que haya un intento, exitoso o no, de explotar la vulnerabilidad, dijo.

El lado positivo de la investigación es que la explotación masiva no es possible debido a un CAPTCHA que debe completarse durante la autenticación por parte de los clientes net.

“El código susceptible solo se alcanza después de que se valida el CAPTCHA”, escribió Baines. “Un CAPTCHA fallido hará que el exploit falle. Si bien no es imposible, resolver CAPTCHA mediante programación es un gran obstáculo para la mayoría de los atacantes. La mayoría de los Sophos Firewall orientados a Web parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que, incluso en los momentos más oportunos, es poco possible que esta vulnerabilidad se haya explotado con éxito a escala”.

Share this
Tags

Debe leer

Noticias en vivo: las acciones de China registran ganancias a medida que los mercados regresan en medio de la confianza posterior a Covid

¿Podemos permitirnos ser más optimistas sobre el futuro? Los próximos siete días comienzan de manera más positiva para la geopolítica world con...

Este mes en DE: febrero

¡Cambie su calendario a "febrero" y discover los nuevos capítulos de Discovery Training! Encuentre algo atractivo para sus próximas lecciones, como celebrar...

Más como esto

LEAVE A REPLY

Please enter your comment!
Please enter your name here