Sophos Firewall: oltre 4000 server ancora vulnerabili per una falla scoperta a settembre
Ci sono oltre 4400 server esposti su Internet che eseguono versioni di Sophos Firewall soggetti ad una vulnerabilità critica che permette in ultima istanza di eseguire codice dannoso non autorizzato. La scoperta è ad opera del ricercatore di sicurezza Jacob Baines di VulnCheck, che ha effettuato una ricerca per verificare gli esiti di una vulnerabilità individuata circa 4 mesi fa.
La vulnerabilità, tracciata come CVE-2022-3236, è di tipo code injection e consente l’esecuzione di codice in modalità remota nel portale utente e webadmin di Sophos Firewall. Si tratta di una vulnerabilità a cui è stato assegnato un livello di gravità di 9,8 su una scala di 10.
Sophos ha rivelato la vulnerabilità lo scorso mese di settembre, avvertendo che era stata sfruttata come falla zero-day. Per questo motivo la società ha incoraggiato i propri clienti ad installare una patch correttiva emergenziale e, successivamente, un ulteriore aggiornamento completo a prevenzione del possibile sfruttamento della vulnerabilità. Il ricercatore di VulnCheck ha però scoperto che esistono ancora oltre 4 mila server, il 6% circa di tutti i firewall Sophos, a cui non è stata applicata la patch d’emergenza.
“Oltre il 99% dei Sophos Firewall connessi a Internet non sono stati aggiornati a versioni contenenti la correzione ufficiale a CVE-2022-3236, ma il 93% circa esegue versioni con la patch d’emergenza e il comportamento predefinito dei firewall è quello di scaricare e installare automaticamente gli hotfix, a meno che ciò non sia disabilitato da un amministratore. E’ probabile che quasi tutti i server idonei per un aggiornamento rapido ne abbiano ricevuto uno, anche se si verificano degli errori. Questo lascia però oltre 4000 firewall che eseguono versioni senza hotfix e quindi sono vulnerabili” scrive il ricercatore.
Baines sottolinea di essere stato in grado di cercare un exploit funzionante basandosi sulle informazioni tecniche contenute in un avviso diramato lo scorso ottobre dalla Zero Day Inititative. In altri termini i firewall non ancora aggiornati sarebbero tranquillamente attaccabili dopo essere stati individuati da una semplice scansione online. Il ricercatore ha esortato gli utenti dei firewall Sophos ad assicurarsi del loro aggiornamento, oltre a condividere due indicatori di compromissione (qui tutti i dettagli) per coloro i quali sono in possesso di un server vulnerabile.
C’è tuttavia una piccola nota positiva: la falla e l’exploit non possono portare ad una compromissione di massa per via di un CAPTCHA che deve essere completato durante l’autenticazione da parte del client web. Spiega Baines: “Il codice vulnerabile viene raggiunto solo dopo che il CAPTCHA è stato convalidato. Un CAPTCHA errato comporterà il fallimento della compromissione. La maggior parte dei Sophos Firewall sembra avere il CAPTCHA abilitato, il che significa che è improbabile che questa vulnerabilità possa essere stata sfruttata con successo su larga scala”.
Fonte: http://feeds.hwupgrade.it/