Mais de 4 mil firewalls Sophos expostos na internet estão vulneráveis a ataques direcionados devido a uma falha crítica de execução remota de código (RCE). A Sophos comunicou essa falha de injeção de código (CVE-2022-3236), encontrada em setembro do ano passado no Portal do Usuário e no Webadmin do Sophos Firewall, e lançou hotfixes para várias versões do dispositivo — as correções oficiais foram lançadas três meses depois, em dezembro.
A empresa alertou à época que o bug RCE estava sendo explorado em ataques contra organizações do sul da Ásia.
Os hotfixes foram lançados em setembro de 2022 para todas as instâncias afetadas (versão 19.0 MR1/19.0.1 e anteriores), pois as atualizações automáticas são ativadas por padrão — a menos que um administrador tenha desativado a opção.
As instâncias do Sophos Firewall executando versões mais antigas do produto tiveram que ser atualizadas manualmente para uma versão compatível para receber o hotfix CVE-2022-3236 automaticamente. Os administradores que não conseguirem corrigir o software vulnerável também podem remover a superfície de ataque desativando o acesso WAN ao Portal do Usuário e ao Webadmin.
Ao escanear a internet em busca de dispositivos Sophos Firewall, o pesquisador de vulnerabilidades do VulnCheck, Jacob Baines, descobriu que, de mais de 88 mil instâncias, cerca de 6% ou mais de 4 mil estão executando versões que não receberam um hotfix e são vulneráveis a ataques CVE-2022-3236 . “Mais de 99% dos Sophos Firewalls voltados para a internet não foram atualizados para versões contendo a correção oficial para CVE-2022-3236”, disse Baines ao BleepingComputer.
“Mas cerca de 93% estão executando versões elegíveis para um hotfix, e o comportamento padrão do firewall é baixar e aplicar automaticamente os hotfixes — a menos que tenha sido desabilitado por um administrador”, disse Baines. “Isso ainda deixa mais de 4 mil firewalls — ou cerca de 6% dos Sophos Firewalls voltados para a internet — executando versões que não receberam um hotfix e, portanto, são vulneráveis”, completou.
Veja isso
Sophos alerta para bug RCE em firewall explorado em ataques
Sophos e Deloitte anunciam novas aquisições nos EUA
Felizmente, apesar de já ter sido explorado como um dia zero, uma exploração de prova de conceito CVE-2022-3236 ainda não foi publicada online. No entanto, Baines foi capaz de reproduzir a exploração a partir de informações técnicas compartilhadas pela Zero Day Initiative (ZDI) da Trend Micro, portanto, é provável que os operadores de ameaças também possam fazê-lo em breve.
Quando e se isso acontecer, provavelmente levará a uma nova onda de ataques assim que os operadores de ameaças criarem uma versão totalmente funcional do exploit e adicioná-la ao seu conjunto de ferramentas.
Baines também acrescentou que a exploração em massa provavelmente seria prejudicada pelo Sophos Firewall, que exige que os clientes da web por padrão “resolvam um Captcha durante a autenticação”. Para contornar essa limitação e alcançar o código vulnerável, os invasores teriam que incluir um solucionador Captcha automatizado.Corrigir os bugs do Sophos Firewall é extremamente importante, já que esta não seria a primeira vez que tal vulnerabilidade é explorada.