Eylül ayında Sophos tarafından yayınlanan bir uyarıda belirtildiği gibi, Sophos Güvenlik Duvarı Web Yöneticisi ve Kullanıcı Portalı HTTP arayüzleri, kimliği doğrulanmamış ve uzaktan kod yürütmeye karşı savunmasızdır.
CVE-2022-3236 güvenlik açığının, geçmişte “esas olarak Güney Asya bölgesindeki küçük bir belirli kuruluş koleksiyonuna” karşı kullanıldığı bildiriliyor. Birden çok Sophos Güvenlik Duvarı sürümü firmadan düzeltmeler aldı (resmi düzeltmeler üç ay sonra, Aralık 2022’de yayınlandı).
Önem derecesi 10 üzerinden 9,8’dir. Müşterilere, saldırıyı durdurmak için şirket tarafından bir düzeltme ve ardından tam bir yama yüklemeleri talimatı verildi.
Otomatik güncellemeler varsayılan olarak etkinleştirildiğinden, bir yönetici özelliği devre dışı bırakmadıkça, etkilenen tüm örneklere (v19.0 MR1/19.0.1 ve daha eski sürümler) Eylül düzeltmeleri verildi.
Ayrıca, CVE-2022-3236 düzeltmesi, desteklenmeyen ürün sürümlerini çalıştıran Sophos Güvenlik Duvarı örneklerine otomatik olarak uygulanamadı; desteklenen bir sürüme manuel olarak yükseltilmeleri gerekiyordu.
Sophos Güvenlik Duvarını Kullanan Sunucular Hala Etkilenebilir
Yakın tarihli bir araştırmaya göre, Sophos güvenlik duvarını kullanan 4.400’den fazla sunucu hala bu güvenlik duvarından etkileniyor. Güvenlik şirketi VulnCheck tarafından sağlanan bir Shodan aramasından elde edilen verilere göre bu, tüm Sophos güvenlik duvarlarının yaklaşık %6’sını oluşturuyor.
VulnCheck güvenlik açığı araştırmacısı Jacob Baines, “İnternet bağlantılı Sophos Güvenlik Duvarlarının %99’undan fazlası, CVE-2022-3236 için resmi düzeltmeyi içeren sürümlere yükseltme yapmadı” dedi.
“Ancak yaklaşık %93’ü bir düzeltme için uygun sürümleri çalıştırıyor ve güvenlik duvarının varsayılan davranışı, düzeltmeleri otomatik olarak indirip uygulamaktır (yönetici tarafından devre dışı bırakılmadığı sürece). Hatalar olmasına rağmen, bir düzeltme için uygun olan neredeyse tüm sunucuların bir düzeltme almış olması muhtemeldir”.
“Bu, 4.000’den fazla güvenlik duvarının (veya internete bakan Sophos Güvenlik Duvarlarının yaklaşık %6’sının) hala bir düzeltme almamış ve bu nedenle savunmasız sürümleri çalıştırmasına neden oluyor.”
Araştırmacı, bu Zero Day Initiative raporundaki teknik ayrıntıları kullanarak sorun için çalışan bir istismar üretebildiğini iddia etti. Bu nedenle, tehdit aktörleri büyük olasılıkla yakında aynı yeteneğe sahip olacaktır.
Ayrıca, Sophos Güvenlik Duvarı’nın web istemcileri için “kimlik doğrulama sırasında bir captcha çözme” varsayılan gereksiniminin muhtemelen yaygın istismarı önleyeceğini belirtti.
Baines, savunmasız sunucuların kullanıcılarına olası bir uzlaşmanın iki göstergesini aramalarını tavsiye etti. İlki/logs/csc.log adresindeki günlük dosyası ve ikincisi /log/validationError.log’dur. Bir oturum açma isteğinde The_Discriminator alanından biri varsa, güvenlik açığından yararlanmak için muhtemelen başarılı veya başarısız bir girişim olmuştur, dedi.
“Savunmasız koda yalnızca CAPTCHA doğrulandıktan sonra ulaşılır. Başarısız bir CAPTCHA, açıktan yararlanmanın başarısız olmasına neden olur”, Baines
CAPTCHA’ları programlı olarak çözmek imkansız değildir, ancak çoğu saldırgan için büyük bir engeldir. İnternete bakan Sophos güvenlik duvarlarının çoğunda oturum açma CAPTCHA’sı etkin görünüyor, bu da bu güvenlik açığından en iyi zamanlarda bile başarılı bir şekilde yararlanılmasının mümkün olmadığı anlamına geliyor.”
Son söz
Araştırmacılar, bu nadir kusurlardan biri olan CVE-2022-3236’nın gerçekte kullanıldığını ve çok az ayrıntının kamuoyuna açıklandığını söylüyor.
Ayrıca, varsayılan kimlik doğrulama captcha’sı kesinlikle yaygın istismarı durdurdu ve internete bakan güvenlik duvarları çoğunlukla düzeltmeler için uygundur.