Более 4400 серверов межсетевого экрана Sophos остаются уязвимыми для критических эксплойтов

На фотографии изображен сканер безопасности, извлекающий вирус из строки двоичного кода. Рука со словом
Увеличить

Гетти Изображения

Исследователь предупредил, что более 4400 серверов, подключенных к Интернету, используют версии межсетевого экрана Sophos, уязвимые для критического эксплойта, позволяющего хакерам выполнять вредоносный код.

CVE-2022-3236 — это уязвимость, связанная с внедрением кода, позволяющая удаленно выполнять код на пользовательском портале и в веб-администраторе межсетевых экранов Sophos. Ему присвоен рейтинг серьезности 9,8 из 10. Когда Софос раскрыл уязвимость В сентябре прошлого года компания предупредила, что ее использовали в реальных условиях как нулевой день. Охранная компания призвала клиентов установить исправление, а затем и полноценный патч для предотвращения заражения.

В соответствии с недавно опубликованное исследование, более 4400 серверов, на которых работает межсетевой экран Sophos, остаются уязвимыми. Это составляет около 6 процентов всех межсетевых экранов Sophos, сообщила охранная фирма VulnCheck, ссылаясь на данные поиска на Shodan.

«Более 99% межсетевых экранов Sophos, подключенных к Интернету, не обновлены до версий, содержащих официальное исправление CVE-2022-3236», — написал исследователь VulnCheck Джейкоб Бейнс. «Но около 93% используют версии, которые подходят для исправлений, а поведение брандмауэра по умолчанию — автоматическая загрузка и применение исправлений (если это не отключено администратором). Вполне вероятно, что почти все серверы, имеющие право на исправление, получили его, хотя ошибки случаются. В результате более 4000 брандмауэров (или около 6% межсетевых экранов Sophos, подключенных к Интернету) используют версии, которые не получили исправлений и поэтому уязвимы».

Исследователь заявил, что ему удалось создать работающий эксплойт для уязвимости на основе технических описаний в эта рекомендация из инициативы «Нулевой день». Неявное предупреждение исследования: если код эксплойта станет общедоступным, не будет недостатка в серверах, которые могут быть заражены.

Бэйнс призвал пользователей брандмауэров Sophos убедиться, что на них установлены исправления. Он также посоветовал пользователям уязвимых серверов проверить наличие двух индикаторов возможного компрометации. Первый — это файл журнала, расположенный по адресу: /logs/csc.log, а второй — /log/validationError.log. По его словам, когда любой из них содержит поле the_discriminator в запросе на вход, скорее всего, была попытка, успешная или нет, использовать уязвимость.

Положительным моментом исследования является то, что массовая эксплуатация маловероятна из-за CAPTCHA, которая должна быть заполнена во время аутентификации веб-клиентами.

«Уязвимый код доступен только после проверки CAPTCHA», — написал Бейнс. «Неудачная проверка CAPTCHA приведет к сбою эксплойта. Хотя это и не невозможно, но программное решение CAPTCHA является серьезным препятствием для большинства злоумышленников. На большинстве брандмауэров Sophos с выходом в Интернет включена функция CAPTCHA для входа в систему, что означает, что даже при В самые подходящие времена эта уязвимость вряд ли была бы успешно использована в шкала."

В заявлении представители Sophos написали: «Sophos предприняла немедленные шаги для устранения этой проблемы, выпустив автоматическое исправление, разосланное в сентябре 2022 года. Мы также предупредили пользователей, которые не получают автоматические исправления, чтобы они установили обновление самостоятельно. Остальные 6% интернет-версий, о которых Бэйнс упоминает в своей статье, используют старые, неподдерживаемые версии программного обеспечения. Это хорошая возможность напомнить этим пользователям, а также всем пользователям любого устаревшего программного обеспечения, что им следует следовать наилучшим образом. меры безопасности и обновиться до самой последней доступной версии, как это регулярно делает компания Sophos со своими клиенты."

Последнее сообщение в блоге

Chrome OS Flex — идеальная альтернатива для миллионов компьютеров, на которых не установлена ​​Windows 11.
October 10, 2023

УвеличитьАурих Лоусон214 с 14 октября 2025 г. знаменует собой прекращение поддержки и обновлений безопасности для версий Windows 10 Home и Pro. Это...

В конце концов, Пикард стал воссоединением фан-сервиса TNG, каким оно всегда должно было быть.
October 06, 2023

Все это шло к тому, что эти люди стояли на этой площадке в последний (?) раз.Трэй Паттон/Paramount+Сезон не безупречен. Возвращаем старую команду н...

Apple Watch Series 3, мертвые во всем, кроме названия, теперь фактически мертвы
October 06, 2023

Увеличить/ Apple Watch Series 3 на официальном мероприятии Apple с характерной короной в виде красных точек, вызывающей разногласия.Арс Техника42 с...