Más de 4400 servidores de firewall de Sophos siguen siendo vulnerables a vulnerabilidades críticas


Getty Images Más de 4.400 servidores expuestos a Internet ejecutan versiones de Sophos Firewall vulnerables a un exploit crítico que permite a los piratas informáticos ejecutar código malicioso, advirtió un investigador. CVE-2022-3236 es una vulnerabilidad de inyección de código que permite la ejecución remota de código en el portal de usuario y webadmin de Sophos Firewalls. Tiene una calificación de gravedad de 9.8 sobre 10. Cuando Sophos anunció la vulnerabilidad en septiembre pasado, la compañía advirtió que había sido explotada de día cero en la naturaleza. La empresa de seguridad pidió a los clientes que instalaran una revisión y luego un parche completo para evitar infecciones. Según un estudio publicado recientemente, más de 4400 servidores que ejecutan el firewall de Sophos siguen siendo vulnerables. Eso representa alrededor del 6 por ciento de todos los firewalls de Sophos, dijo la firma de seguridad VulnCheck, citando números de una búsqueda de Shodan. «Más del 99 % de los firewalls de Sophos orientados a Internet no se han actualizado a versiones que incluyen la solución oficial para CVE-2022-3236», escribió el investigador de VulnCheck, Jacob Baines. «Pero aproximadamente el 93 % ejecuta versiones elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite). Es probable que casi todos los servidores elegibles para una revisión hayan recibido una, aunque ocurren errores. Eso deja a más de 4000 firewalls (o alrededor del 6 % de los Sophos Firewall orientados a Internet) aún ejecutando versiones que no han recibido una revisión y, por lo tanto, son vulnerables». en las descripciones técnicas de esta Guía de asesoramiento de Zero Day Initiative. La advertencia implícita de la investigación: si el código de explotación se vuelve público, no hay escasez de servidores para infectar. Baines instó a los usuarios de los firewalls de Sophos a asegurarse de que estén parcheados. También aconsejó a los usuarios de servidores vulnerables que busquen dos indicadores de un posible compromiso. El primero es el archivo de registro en: /logs/csc.log y el segundo es /log/validationError.log. Si se incluye el campo the_Discriminator en una solicitud de inicio de sesión, es probable que haya un intento exitoso o fallido de explotar la vulnerabilidad, dijo. El punto positivo de la investigación es que la explotación masiva no es probable debido a un CAPTCHA que los clientes web deben completar durante la autenticación. «El código vulnerable solo se alcanza después de que se valida el CAPTCHA», escribió Baines. «Un CAPTCHA fallido hará que el exploit falle. Resolver los CAPTCHA mediante programación no es imposible, pero es un gran obstáculo para la mayoría de los atacantes. La mayoría de los firewalls de Sophos orientados a Internet parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que es poco probable que esta vulnerabilidad se haya explotado con éxito a gran escala, incluso en el mejor de los casos».

Deja una respuesta

Tu dirección de correo electrónico no será publicada.