Los investigadores de ciberseguridad de VulnCheck han afirmado que miles de servidores expuestos a Internet ejecutan el firewall de Sophos (se abre en una pestaña nueva) son vulnerables a una falla de alta gravedad que permite a los actores de amenazas ejecutar malware de forma remota.
La compañía publicó recientemente un informe en el que dice que después de ejecutar un escaneo rápido de Shodan, encontró más de 4400 servidores expuestos a Internet con Sophos Firewall vulnerables a CVE-2022-3236.
Con una calificación de gravedad de 9.8, la falla es una vulnerabilidad de inyección de código que permite a los actores de amenazas usar el Portal de usuario y Webadmin para entregar y ejecutar malware. La vulnerabilidad se publicó en septiembre de 2022 cuando se lanzó una revisión. Poco después, Sophos lanzó un parche completo e instó a sus usuarios a aplicarlo de inmediato.
Explosión de trabajo
Ahora, unos cuatro meses después, todavía hay más de 4000 puntos finales que no han aplicado el parche, lo que representa alrededor del 6% de todas las instancias de firewall de Sophos, dijeron los investigadores.
“Más del 99 % de los Sophos Firewall orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236”, se lee en el anuncio. “Pero alrededor del 93% ejecuta versiones que son elegibles para una revisión, y el comportamiento predeterminado del firewall es descargar y aplicar revisiones automáticamente (a menos que un administrador las deshabilite). Es probable que casi todos los servidores elegibles para una revisión hayan recibido una, aunque ocurren errores. Eso aún deja más de 4000 firewalls (o alrededor del 6 % de los Sophos Firewall orientados a Internet) ejecutando versiones que no recibieron una revisión y, por lo tanto, son vulnerables”.
Nada de esto es puramente teórico, tampoco. Los investigadores dijeron que construyeron un exploit funcional que advierte que, si ellos pueden hacerlo, también pueden hacerlo los piratas informáticos. De hecho, es posible que algunos ya lo hayan hecho, razón por la cual VulnCheck compartió dos indicadores de compromiso: los archivos de registro que se encuentran en /logs/csc.log y /log/validationError.log. Si alguno de estos tiene el campo the_discriminator en una solicitud de inicio de sesión, es probable que alguien haya intentado explotar la falla. Sin embargo, los archivos de registro no se pueden usar para determinar si el intento fue exitoso o no.
La buena noticia es que durante la autenticación en el cliente web, el atacante debe completar un CAPTCHA, lo que hace que los ataques masivos sean muy poco probables. Sin embargo, los ataques dirigidos siguen siendo una gran posibilidad.
“El código vulnerable solo se alcanza después de que se valida el CAPTCHA. Un CAPTCHA fallido hará que el exploit falle. Si bien no es imposible, resolver CAPTCHA mediante programación es un gran obstáculo para la mayoría de los atacantes. La mayoría de los Sophos Firewall orientados a Internet parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que, incluso en los momentos más oportunos, es poco probable que esta vulnerabilidad se haya explotado con éxito a gran escala”, concluyeron los investigadores.
Vía: Ars Technica (se abre en una pestaña nueva)