Hiába érhető el frissítés, több ezer Sophos tűzfal továbbra is sebezhető

Több mint 4000 Sophos tűzfal sebezhető egy kritikus távoli kódfuttatást (Remote Code Execution – RCE) eredményező sebezhetőséggel szemben.

A Sophos szeptemberben hozta nyilvánosságra a tűzfal felhasználói portálján és webadmin felületén talált kódinjekciós hibát (CVE-2022-3236), továbbá több tűzfalverzióhoz hotfixeket (gyorsjavításokat) adott ki (a hivatalos javítások három hónappal később, 2022 decemberében kerültek kiadásra).

A szeptemberi hotfixek az érintett tűzfalakon (például v19.0 MR1/19.0.1) automatikusan telepítésre kerültek, amennyiben ez az alapértelmezett beállítás nem került letiltásra a rendszergazda által. Egyes régebbi termékverziókat futtató Sophos tűzfalakat azonban manuálisan kellett frissíteni egy támogatott verzióra, hogy automatikusan hozzáférhessek a CVE-2022-3236 gyorsfrissítéséhez.

A gyártó biztonsági figyelmeztetésében már ekkor jelezte, hogy megkerülő megoldásként a webadminhoz és a felhasználói portálhoz való WAN-hozzáférés letiltásával azok a rendszergazdák is csökkenthetik a támadásnak való kitettségüket, akiknél a patch telepítése problémába ütközik.

Több ezer eszköz még mindig sebezhető

A Sophos tűzfal eszközeinek internetes vizsgálata során Jacob Baines, a VulnCheck kutatója azt találta, hogy a több, mint 88 000 példányból mintegy 6%, azaz körülbelül 4000 olyan verziót futhat, amely nem kapott frissítést, ezáltal továbbra is sérülékeny a CVE-2022-3236 támadásokkal szemben. A kutató arra is felhívja a figyelmet, hogy a tömeges kihasználást megakadályozhatná, ha a webes kliensekbe automatizált CAPTCHA-megoldó kerülne.

Annak ellenére, hogy a sérülékenység aktív kihasználása ismert ─ a vállalat már a hotfixek kiadása idején jelezte, hogy az RCE hibát több dél-ázsiai szervezet elleni támadás során kihasználták ─ proof-of-concept exploit még nem került publikálásra.

Mindazonáltal a Trend Micro Zero Day Initiative (ZDI) által megosztott technikai információk alapján Baines képes volt reprodukálni az exploitot, így nagyon is valószínűsíthető, hogy hamarosan a fenyegetést jelentő csoportok is képesek lesznek rá.

A tűzfal hibák patchelése mindig kritikus fontosságú, mert a támadók számára csábító célpontot jelentenek, amit többek közt az elmúlt évek Sophos és XG tűzfalak elleni támadásai is igazolnak.

Forrás: https://www.bleepingcomputer.com/news/security/over-4-000-sophos-firewall-devices-vulnerable-to-rce-attacks/