Специалисты предупредили, что более 4000 устройств Sophos Firewall, доступные через интернет, все еще уязвимы перед критическим багом, патч для которого вышел еще осенью 2022 года.
Речь идет о проблеме CVE-2022-3236 (9,8 балла по шкале оценки уязвимостей CVSS), которая была обнаружена в User Portal и веб-админке Sophos Firewall. По сути, этот баг позволяет злоумышленникам добиться выполнения произвольного кода (RCE).
Хотфиксы для всех версий Sophos Firewall, затронутых этой ошибкой (v19.0 MR1, 19.0.1 и старше) были выпущены еще в сентябре прошлого года, а полноценные патчи были представлены в декабре. При этом еще осенью производитель предупреждал, что уязвимость уже используется хакерами для атак на организации в Южной Азии.
Как теперь сообщают специалисты из ИБ-компании VulnCheck, согласно проведенному ими исследованию, из 88 000 экземпляров Sophos Firewall около 6% от общей массы (более 4000) до сих пор работают с версиями, которые не получили патчей и уязвимы для проблемы CVE-2022-3236.
«Более 99% брандмауэров Sophos, доступных через интернет, не обновлены до версий, содержащих официальное исправление для CVE-2022-3236, — пишут исследователи. — Однако около 93% работают с версиями, которые подходят для исправления, а поведение брандмауэра по умолчанию включает автоматическую загрузку и установку патчей (если только администратор не отключил это функцию). Вполне вероятно, что почти все серверы, подходящие для исправления, получили его, хотя ошибки тоже бывают. И все равно остается более 4000 брандмауэров (около 6% от общего числа) с версиями, которые не получали исправлений и поэтому уязвимы».
Хотя пока PoC-эксплоит для CVE-2022-3236 не опубликован в сети, исследователи сумели воспроизвести его на основе технической информации, опубликованной Trend Micro Zero Day Initiative (ZDI). Так что вполне вероятно, что злоумышленники тоже смогут это сделать.
После появления общедоступного эксплоита эксперты прогнозируют волну атак на эту уязвимость. Впрочем, массовой эксплуатации бага, скорее всего, помешает тот факт, что Sophos Firewall по умолчанию требует от веб-клиентов решать CAPTCHA во время аутентификации. Чтобы обойти это ограничение, злоумышленникам придется использовать еще и автоматические решатели CAPTCHA, а неудачное решение CAPTCHA приведет к сбою в работе эксплоита.