İnternet erişimine maruz kalan 4.000’den fazla Sophos Güvenlik Duvarı cihazı, kritik bir uzaktan kod yürütme (RCE) güvenlik açığını hedefleyen saldırılara karşı savunmasızdır.
Sophos, Eylül ayında Sophos Güvenlik Duvarı’nın Kullanıcı Portalı ve Webadmin’inde bulunan bu kod enjeksiyon kusurunu (CVE-2022-3236) açıkladı ve ayrıca birden çok Sophos Güvenlik Duvarı sürümü için düzeltmeler yayınladı (resmi düzeltmeler üç ay sonra, Aralık 2022’de yayınlandı).
Şirket, o sırada RCE hatasının Güney Asya’daki kuruluşlara yönelik saldırılarda vahşi ortamda kullanıldığı konusunda uyardı.
Eylül düzeltmeleri, bir yönetici seçeneği devre dışı bırakmadığı sürece otomatik güncellemeler varsayılan olarak etkinleştirildiğinden, etkilenen tüm örneklere (v19.0 MR1/19.0.1 ve daha eski sürümler) sunuldu.
Eski ürün sürümlerini çalıştıran Sophos Güvenlik Duvarı örneklerinin, CVE-2022-3236 düzeltmesini otomatik olarak alabilmesi için desteklenen bir sürüme manuel olarak yükseltilmesi gerekiyordu.
Güvenlik açığı bulunan yazılıma yama yapamayan yöneticiler, Kullanıcı Portalı ve Webadmin’e WAN erişimini devre dışı bırakarak saldırı yüzeyini de kaldırabilir.
Binlerce cihaz hala savunmasız durumda
VulnCheck güvenlik açığı araştırmacısı Jacob Baines, İnternet’i Sophos Güvenlik Duvarı cihazları için tararken, 88.000’den fazla örnekten yaklaşık %6’sının veya 4.000’den fazlasının düzeltme almamış ve CVE-2022-3236 saldırılarına karşı savunmasız sürümleri çalıştırdığını tespit etti. .
Baines, “İnternet bağlantılı Sophos Güvenlik Duvarlarının %99’undan fazlası, CVE-2022-3236 için resmi düzeltmeyi içeren sürümlere yükseltme yapmadı” dedi.
“Ancak yaklaşık %93’ü bir düzeltme için uygun sürümleri çalıştırıyor ve güvenlik duvarının varsayılan davranışı, düzeltmeleri otomatik olarak indirip uygulamaktır (yönetici tarafından devre dışı bırakılmadığı sürece).
“Bu, hala bir düzeltme almayan ve bu nedenle savunmasız olan sürümleri çalıştıran 4.000’den fazla güvenlik duvarını (veya internete bakan Sophos Güvenlik Duvarlarının yaklaşık% 6’sını) geride bırakıyor.”
Şans eseri, zaten sıfır gün olarak kullanılmasına rağmen, bir CVE-2022-3236 kavram kanıtı istismarı henüz çevrimiçi olarak yayınlanmadı.
Ancak Baines, Trend Micro’nun Zero Day Initiative (ZDI) tarafından paylaşılan teknik bilgilerden yararlanarak istismarı yeniden oluşturabildi, bu nedenle tehdit aktörlerinin de yakında bunu başarması muhtemel.
Bu ne zaman ve olursa, tehdit aktörleri açıktan yararlanmanın tam olarak çalışan bir sürümünü oluşturup araç setlerine ekler eklemez büyük olasılıkla yeni bir saldırı dalgasına yol açacaktır.
Baines ayrıca, web istemcilerinin varsayılan olarak “kimlik doğrulama sırasında bir captcha çözmesini” gerektiren Sophos Güvenlik Duvarı tarafından toplu istismarın büyük olasılıkla engelleneceğini de sözlerine ekledi.
Saldırganların bu sınırlamayı aşmak ve güvenlik açığı bulunan koda ulaşmak için otomatik bir CAPTCHA çözücü içermesi gerekir.
Daha önce saldırılarda hedeflenen Sophos Güvenlik Duvarı hataları
Sophos Güvenlik Duvarı hatalarını yamalamak, böyle bir güvenlik açığından ilk kez yararlanılmayacağı göz önüne alındığında, kritik öneme sahiptir.
Mart 2022’de Sophos, benzer bir kritik Sophos Güvenlik Duvarı hatasını (CVE-2022-1040) Kullanıcı Portalı ve Webadmin modüllerinde yamalayarak kimlik doğrulama atlamasına ve rastgele kod yürütme saldırılarına olanak sağladı.
Ayrıca, DriftingCloud olarak takip edilen bir Çinli tehdit grubu tarafından Güney Asya kuruluşlarına yönelik Mart ayının başından bu yana (Sophos’un yamaları yayınlamasından yaklaşık üç hafta önce) sıfır gün olarak saldırılarda da kullanıldı.
XG Güvenlik Duvarı’ndaki sıfır gün SQL enjeksiyonu, tehdit aktörleri tarafından 2020’nin başlarından itibaren, Asnarök truva atı kötü amaçlı yazılımını kullanarak kullanıcı adları ve parolalar gibi hassas verileri çalmak için kötüye kullanıldı.
Aynı sıfır gün, Ragnarok fidye yazılımı yüklerini Windows kurumsal ağlarına teslim etmek için kullanıldı.