На более 4400 серверах установлены различные версии Sophos Firewall, которые подвержены критической уязвимости, позволяющей хакерам выполнять вредоносный код. Об этом заявила ИБ-компания VulnCheck в своём отчёте .
Уязвимость внедрения кода CVE-2022-3236 (CVSS: 9.8) позволяет удаленно выполнять код на пользовательском портале и в панели администратора брандмауэров Sophos. Ошибка была раскрыла ещё в сентябре 2022 года. Компания тогда выпустила обновление с исправлением этого недостатка.
Согласно исследованию, более 4400 серверов (6% от всех брандмауэров Sophos) остаются уязвимыми. Кроме того, более 99% брандмауэров Sophos не обновлены до исправленной версий, а 93% работают с актуальными версиями. Исследователи предположили, что почти все серверы получили обновление, но ошибка всё равно присутствует.
Исследователь кибербезопасности Якоб Бейнс создал эксплойт для уязвимости на основе технических описаний в бюллетене от Zero Day Initiative. Бэйнс призвал пользователей брандмауэра Sophos убедиться, что они исправлены. В своей работе он также указал индикаторы компрометации .
Примечательно, что массовая эксплуатация маловероятна из-за необходимости вводить тест CAPTCHA во время аутентификации веб-клиентами. Уязвимый код доступен только после проверки CAPTCHA. Провал теста CAPTCHA приведет к сбою эксплойта.
В большинстве межсетевых экранов Sophos включена проверка CAPTCHA, и чтобы запустить эксплоит, нужно пройти тест. Провал теста CAPTCHA приведет к сбою эксплойта, а это означает, что уязвимость не может использоваться в больших масштабах.
Sophos выпустила автоматическое обновление в сентябре 2022 года. По словам Бэйнса, версии файервола Sophos, доступные в Интернете, работают под управлением уже неподдерживаемой версии. Исследователь призвал пользователей обновить ПО до самой последней доступной версии, о чём Sophos заявил ещё в сентябре.