Más de 4400 servidores de firewall de Sophos siguen siendo vulnerables a vulnerabilidades críticas

La fotografía muestra un escáner de seguridad extrayendo virus de una cadena de código binario.  Mano con la palabra

imágenes falsas

Más de 4.400 servidores expuestos a Internet ejecutan versiones de Sophos Firewall que son vulnerables a un exploit crítico que permite a los piratas informáticos ejecutar código malicioso, advirtió un investigador.

CVE-2022-3236 es una vulnerabilidad de inyección de código que permite la ejecución remota de código en el Portal de usuario y Webadmin de Sophos Firewalls. Tiene una calificación de gravedad de 9,8 sobre 10. Cuando Sophos reveló la vulnerabilidad en septiembre pasado, la compañía advirtió que había sido explotada en la naturaleza como un día cero. La empresa de seguridad instó a los clientes a instalar una revisión y, más tarde, un parche completo para evitar infecciones.

De acuerdo a investigaciones publicadas recientemente, más de 4400 servidores que ejecutan el firewall de Sophos siguen siendo vulnerables. Eso representa alrededor del 6 por ciento de todos los firewalls de Sophos, dijo la firma de seguridad VulnCheck, citando cifras de una búsqueda en Shodan.

“Más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236”, escribió el investigador de VulnCheck, Jacob Baines. “Pero alrededor del 93 % ejecuta versiones que son elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite). Es probable que casi todos los servidores elegibles para una revisión hayan recibido una, aunque ocurren errores. Eso aún deja más de 4000 firewalls (o alrededor del 6 % de los Sophos Firewall orientados a Internet) ejecutando versiones que no recibieron una revisión y, por lo tanto, son vulnerables”.

El investigador dijo que pudo crear un exploit funcional para la vulnerabilidad basado en descripciones técnicas en este aviso de la Iniciativa Día Cero. La advertencia implícita de la investigación: si el código de explotación se vuelve público, no hay escasez de servidores que podrían infectarse.

Baines instó a los usuarios del firewall de Sophos a asegurarse de que estén parcheados. También aconsejó a los usuarios de servidores vulnerables que busquen dos indicadores de posible compromiso. El primero es el archivo de registro ubicado en: /logs/csc.log y el segundo es /log/validationError.log. Cuando cualquiera contiene el campo the_discriminator en una solicitud de inicio de sesión, es probable que haya un intento, exitoso o no, de explotar la vulnerabilidad, dijo.

El lado positivo de la investigación es que la explotación masiva no es probable debido a un CAPTCHA que debe completarse durante la autenticación por parte de los clientes web.

“El código vulnerable solo se alcanza después de que se valida el CAPTCHA”, escribió Baines. “Un CAPTCHA fallido hará que el exploit falle. Si bien no es imposible, resolver CAPTCHA mediante programación es un gran obstáculo para la mayoría de los atacantes. La mayoría de los Sophos Firewall orientados a Internet parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que, incluso en los momentos más oportunos, es poco probable que esta vulnerabilidad se haya explotado con éxito a escala”.

Leave a Reply

Your email address will not be published. Required fields are marked *