Hơn 4.000 thiết bị Tường lửa Sophos dễ bị tấn công RCE

Hơn 4.000 thiết bị Tường lửa Sophos có truy cập Internet dễ bị tấn công nhằm vào lỗ hổng thực thi mã từ xa (RCE) quan trọng.

Sophos đã tiết lộ lỗ hổng chèn mã này (CVE-2022-3236) được phát hiện trong Cổng thông tin người dùng tường lửa Sophos và Webadmin vào tháng 9, cùng với các bản sửa lỗi cho nhiều phiên bản Tường lửa Sophos (bản sửa lỗi chính thức được phát hành ba tháng sau đó, vào tháng 12 năm 2022).

Vào thời điểm đó, công ty đã cảnh báo rằng lỗi RCE đang được sử dụng trong các cuộc tấn công trong thế giới thực nhằm vào các tổ chức Nam Á.

Do cập nhật tự động được bật theo mặc định — trừ khi quản trị viên tắt tùy chọn này — các bản sửa lỗi nóng tháng 9 được áp dụng cho tất cả các phiên bản bị ảnh hưởng (v19.0 MR1/19.0.1 trở lên).

Để tự động nhận hotfix CVE-2022-3236, các phiên bản Tường lửa Sophos chạy các phiên bản sản phẩm cũ hơn phải được nâng cấp thủ công lên phiên bản được hỗ trợ.

Nếu quản trị viên không thể vá phần mềm dễ bị tấn công, họ có thể giảm bề mặt tấn công bằng cách vô hiệu hóa quyền truy cập WAN vào Cổng thông tin người dùng và Quản trị viên web.

Hàng nghìn thiết bị vẫn dễ bị tấn công

Trong khi tìm kiếm các thiết bị Tường lửa Sophos trên Internet, nhà nghiên cứu lỗ hổng VulnCheck Jacob Baines đã phát hiện ra rằng khoảng 6%, hoặc hơn 4.000, đang chạy các phiên bản chưa nhận được hotfix và dễ bị tấn công CVE-2022-3236.

Baines cho biết: “Hơn 99% Tường lửa Sophos kết nối Internet chưa được nâng cấp lên các phiên bản bao gồm bản sửa lỗi CVE-2022-3236 chính thức.

“Tuy nhiên, khoảng 93% đang chạy các phiên bản đủ điều kiện cho một hotfix và hành vi mặc định của tường lửa là tự động tải xuống và áp dụng các hotfix” (trừ khi bị quản trị viên vô hiệu hóa).

“Điều đó vẫn khiến hơn 4.000 tường lửa (hoặc khoảng 6% Tường lửa Sophos kết nối Internet) chạy các phiên bản dễ bị tổn thương không nhận được bản sửa lỗi.”

May mắn thay, mặc dù thực tế là nó đã bị khai thác dưới dạng zero-day, nhưng việc khai thác bằng chứng khái niệm CVE-2022-3236 vẫn chưa được công bố trực tuyến.

Tuy nhiên, vì Baines có thể sao chép khai thác bằng cách sử dụng thông tin kỹ thuật được chia sẻ bởi Sáng kiến ​​Zero Day (ZDI) của Trend Micro, nên các tác nhân đe dọa cũng có khả năng làm được như vậy.

Khi nào và nếu điều này xảy ra, nó gần như chắc chắn sẽ dẫn đến một làn sóng tấn công mới ngay khi các tác nhân đe dọa tạo ra một phiên bản khai thác đầy đủ chức năng và kết hợp nó vào bộ công cụ của chúng.

Baines cũng tuyên bố rằng yêu cầu của Sophos Firewall đối với các máy khách web phải “giải mã hình ảnh xác thực trong quá trình xác thực” có thể sẽ cản trở việc khai thác hàng loạt.

Để phá vỡ hạn chế này và giành quyền truy cập vào mã dễ bị tấn công, những kẻ tấn công sẽ cần đưa vào một trình giải mã CAPTCHA tự động.

​Các lỗi Tường lửa Sophos trước đây được nhắm mục tiêu trong các cuộc tấn công

Vá lỗi Sophos Firewall là rất quan trọng, vì đây không phải là lần đầu tiên một lỗ hổng như vậy bị khai thác ngoài thực tế.

Sophos đã vá một lỗi Tường lửa Sophos nghiêm trọng tương tự (CVE-2022-1040) trong các mô-đun Cổng thông tin người dùng và Webadmin vào tháng 3 năm 2022, cho phép bỏ qua xác thực và tấn công thực thi mã tùy ý.

Nó cũng đã được sử dụng như một khai thác zero-day trong các cuộc tấn công chống lại các tổ chức Nam Á bởi một nhóm đe dọa Trung Quốc có tên là DriftingCloud kể từ đầu tháng 3 (khoảng ba tuần trước khi Sophos phát hành các bản vá lỗi).

Những kẻ đe dọa đã bắt đầu khai thác lỗ hổng zero-day trong XG Firewall SQL injection vào đầu năm 2020 để đánh cắp dữ liệu nhạy cảm như tên người dùng và mật khẩu bằng cách sử dụng phần mềm độc hại trojan Asnarök.

Lỗ hổng zero-day tương tự đã được sử dụng để đưa tải trọng ransomware Ragnarok vào mạng doanh nghiệp Windows.

Theo :https://www.bleepingcomputer.com/news/security/over-4-000-sophos-firewall-devices-vulnerable-to-rce-attacks/