Más de 4.400 servidores de firewall de Sophos son aún vulnerables a exploits críticos

Más de 4.400 servidores expuestos a internet y que se encuentran ejecutando versiones del Sophos Firewall son vulnerables a un exploit crítico de extrema virulencia. El cual permite a los hackers ejecutar un código malicioso, en concreto el CVE-2022-3236.

Una vulnerabilidad de inyección de código que permite la ejecución remota de código en el Portal de usuarios y Webadmin de Sophos Firewalls. Dicho exploit es altamente peligroso y está clasificado en una tasa de gravedad de 9,8 puntos sobre 10.

Sophos tomó medidas inmediatas para solucionar este problema con un hotfix automático enviado en septiembre de 2022. También alertamos a los usuarios que no reciben hotfixes automáticos para que aplicaran la actualización ellos mismos.

La situación es más peligrosa aún ya que según una investigación publicada recientemente, los 4.400 servidores vulnerables que ejecutan el firewall de Sophos representan alrededor del 6% de todos los firewalls de la empresa.

Dicho 6% restante de las versiones orientadas a Internet que Baines menciona en su artículo, están ejecutando una versión antigua y no compatible del software. Esta es una buena oportunidad para recordar a estos usuarios, así como a todos los usuarios de cualquier tipo de software obsoleto, que sigan las guías de buenas prácticas de seguridad y actualicen a la versión más reciente disponible, como hace Sophos regularmente con sus clientes.

«Más del 99% de los Sophos Firewalls orientados a Internet no se han actualizado a versiones que contengan la solución oficial para CVE-2022-3236», ha asegurado el investigador de VulnCheck Jacob Baines, y ha añadido: “Alrededor del 93% están ejecutando versiones que son elegibles para una revisión, y el comportamiento predeterminado para el firewall es descargar y aplicar revisiones automáticamente, a menos que un administrador las deshabilite”

¿Cómo actuar?

Este investigador también ha asegurado que pudo crear un exploit funcional para la vulnerabilidad basado en descripciones técnicas en este aviso de la Iniciativa Día Cero. E instó a los usuarios del firewall de Sophos a asegurarse de que están parcheados.

También ha aconsejado a los usuarios de servidores vulnerables que verifiquen si hay dos indicadores de posible compromiso. El primero es el archivo de registro ubicado en: /logs/csc.log, y el segundo es /log/validationError.log.

Si cualquiera de los dos contiene the_discriminator campo en una solicitud de inicio de sesión, es probable que haya un intento, exitoso o no, de explotar la vulnerabilidad.

No todos son malas noticias. El lado positivo de la investigación es que la explotación masiva no es probable debido a un CAPTCHA que debe completarse durante la autenticación por parte de los clientes web.

«El código vulnerable solo se alcanza después de que se valida el CAPTCHA (…) Un CAPTCHA fallido resultará en que el exploit falle. Si bien no es imposible, resolver CAPTCHA mediante programación es un gran obstáculo para la mayoría de los atacantes. La mayoría de los Sophos Firewalls orientados a Internet parecen tener habilitado el CAPTCHA de inicio de sesión, lo que significa que, incluso en los momentos más oportunos, es poco probable que esta vulnerabilidad se haya explotado con éxito a escala», ha añadido.