VulnCheck’ten siber güvenlik araştırmacıları, Sophos’un Güvenlik Duvarını çalıştıran binlerce internete maruz kalan sunucuyu iddia etti (yeni sekmede açılır) çözüm, tehdit aktörlerinin kötü amaçlı yazılımları uzaktan yürütmesine izin veren yüksek önem dereceli bir kusura karşı savunmasızdır.
Şirket kısa bir süre önce, hızlı bir Shodan taraması yaptıktan sonra, CVE-2022-3236’ya karşı savunmasız Sophos Güvenlik Duvarı bulunan 4.400’den fazla internete açık sunucu bulduğunu belirten bir rapor yayınladı.
Önem derecesi 9,8 olan kusur, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak ve çalıştırmak için Kullanıcı Portalı ve Webadmin’i kullanmasına izin veren bir kod enjeksiyon güvenlik açığıdır. Güvenlik açığı, Eylül 2022’de bir düzeltme yayınlandığında duyurulmuştu. Kısa süre sonra Sophos tam teşekküllü bir yama yayınladı ve kullanıcılarını hemen uygulamaya çağırdı.
Çalışma istismarı
Araştırmacılar, şimdi, yaklaşık dört ay sonra, hala yamayı uygulamamış 4.000’den fazla uç nokta olduğunu ve bu da tüm Sophos güvenlik duvarı örneklerinin yaklaşık %6’sını oluşturduğunu söyledi.
Duyuruda, “İnternet bağlantılı Sophos Güvenlik Duvarlarının %99’undan fazlası, CVE-2022-3236 için resmi düzeltmeyi içeren sürümlere yükseltme yapmadı” ifadesi yer alıyor. “Ancak yaklaşık %93’ü bir düzeltme için uygun sürümleri çalıştırıyor ve güvenlik duvarının varsayılan davranışı, düzeltmeleri otomatik olarak indirip uygulamaktır (yönetici tarafından devre dışı bırakılmadığı sürece). Hatalar olmasına rağmen, bir düzeltme için uygun olan hemen hemen tüm sunucuların bir düzeltme almış olması muhtemeldir. Bu, hala bir düzeltme almayan ve bu nedenle savunmasız olan sürümleri çalıştıran 4.000’den fazla güvenlik duvarını (veya İnternet’e bakan Sophos Güvenlik Duvarlarının yaklaşık %6’sını) geride bırakıyor.”
Bunların hiçbiri tamamen teorik de değil. Araştırmacılar, çalışan bir istismar uyarısı oluşturduklarını söylediler – eğer yapabilirlerse bilgisayar korsanları da yapabilir. Aslında bazıları bunu zaten yapmış olabilir, bu nedenle VulnCheck iki uzlaşma göstergesini paylaştı – /logs/csc.log ve /log/validationError.log’da bulunan günlük dosyaları. Bunlardan herhangi biri bir oturum açma isteğinde the_discriminator alanına sahipse, muhtemelen birisi kusurdan yararlanmaya çalışmıştır. Ancak günlük dosyaları, girişimin başarılı olup olmadığını belirlemek için kullanılamaz.
İyi haber şu ki, web istemcisinin kimlik doğrulaması sırasında saldırganın bir CAPTCHA tamamlaması gerekiyor, bu da toplu saldırıları pek olası kılmıyor. Bununla birlikte, hedefli saldırılar hala büyük bir olasılıktır.
“Savunmasız koda yalnızca CAPTCHA doğrulandıktan sonra ulaşılır. Başarısız bir CAPTCHA, istismarın başarısız olmasına neden olur. İmkansız olmasa da CAPTCHA’ları program aracılığıyla çözmek çoğu saldırgan için büyük bir engeldir. İnternete bakan Sophos Güvenlik Duvarlarının çoğunda oturum açma CAPTCHA’sı etkin görünüyor, bu da en uygun zamanlarda bile bu güvenlik açığından büyük ölçekte başarılı bir şekilde yararlanılmasının pek mümkün olmadığı anlamına geliyor” dedi.
Üzerinden: ArsTechnica (yeni sekmede açılır)
