Más de 4000 dispositivos Sophos Firewall expuestos al acceso a Internet son vulnerables a ataques dirigidos a una vulnerabilidad crítica de ejecución remota de código (RCE).
Sophos reveló esta vulnerabilidad de inyección de código ( CVE-2022-3236 ) encontrada en el Portal de usuario y Webadmin de Sophos Firewall en septiembre y también lanzó revisiones para varias versiones de Sophos Firewall (las correcciones oficiales se emitieron tres meses después, en diciembre de 2022).
La compañía advirtió en ese momento que la vulnerabilidad RCE estaba siendo explotado de forma salvaje en ataques contra organizaciones del sur de Asia.
Las revisiones de septiembre se implementaron en todas las instancias afectadas (v19.0 MR1/19.0.1 y anteriores) ya que las actualizaciones automáticas están habilitadas de manera predeterminada a menos que un administrador deshabilite la opción.
Las instancias de Sophos Firewall que ejecutaban versiones anteriores del producto debían actualizarse manualmente a una versión compatible para recibir el hotfix CVE-2022-3236 automáticamente.
Los administradores que no pueden parchear el software vulnerable también pueden eliminar la superficie de ataque al deshabilitar el acceso WAN al Portal de usuario y Webadmin.
Miles de dispositivos siguen siendo vulnerables
Mientras escaneaba Internet en busca de dispositivos Sophos Firewall el investigador de vulnerabilidades de VulnCheck Jacob Baines descubrió que de más de 88 000 instancias alrededor del 6 % o más de 4000 ejecutan versiones que no han recibido una revisión y son vulnerables a los ataques CVE-2022-3236. .
“Más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236”, dijo Baines.
“Pero alrededor del 93% ejecuta versiones que son elegibles para una revisión y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite).
“Eso todavía deja más de 4.000 firewalls (o alrededor del 6% de los Sophos Firewall orientados a Internet) ejecutando versiones que no recibieron una revisión y por lo tanto, son vulnerables”.
Afortunadamente a pesar de que ya se ha explotado como un día cero, aún no se ha publicado en línea un exploit de prueba de concepto CVE-2022-3236.
Sin embargo, Baines pudo reproducir el exploit a partir de la información técnica compartida por Zero Day Initiative (ZDI) de Trend Micro, por lo que es probable que los actores de amenazas pronto también puedan hacerlo.
Cuando esto suceda y si esto sucede lo más probable es que conduzca a una nueva ola de ataques tan pronto como los actores de amenazas creen una versión completamente funcional del exploit y la agreguen a su conjunto de herramientas.
Baines también agregó que la explotación masiva probablemente se vería obstaculizada por Sophos Firewall que requiere que los clientes web de manera predeterminada “resuelvan un captcha durante la autenticación”.
Para solucionar esta limitación y llegar al código vulnerable, los atacantes tendrían que incluir un solucionador de CAPTCHA automatizado.
Vulnerabilidades de Sophos Firewall previamente atacados
Parchar las vulnerabilidades de Sophos Firewall es de vital importancia dado que esta no sería la primera vez que se explota una vulnerabilidad de este tipo.
En marzo de 2022, Sophos corrigió una vulnerabilidad crítica similar de Sophos Firewall (CVE-2022-1040) en los módulos User Portal y Webadmin que permitía la omisión de autenticación y ataques de ejecución de código arbitrario.
También fue explotado en ataques como un día cero desde principios de marzo (aproximadamente tres semanas antes de que Sophos lanzara parches) contra organizaciones del sur de Asia por parte de un grupo de amenazas chino rastreado como DriftingCloud.
Los actores de amenazas también abusaron de un día cero en XG Firewall SQL injection a partir de principios de 2020 para robar datos confidenciales como nombres de usuario y contraseñas utilizando el malware troyano Asnarök .
El mismo día cero se aprovechó para entregar cargas útiles de ransomware Ragnarok en las redes empresariales de Windows.
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.