超過 4,000 台 Sophos Firewall 設備容易受到 RCE 攻擊

超過 4,000 台暴露於 Internet 訪問的 Sophos Firewall 設備容易受到針對關鍵遠程代碼執行 (RCE) 漏洞的攻擊。

Sophos 披露了這個代碼注入漏洞 (CVE-2022 -3236) 於 9 月在 Sophos Firewall 的用戶門戶和 Webadmin 中發現，並且還發布了多個 Sophos Firewall 版本的修補程序（官方修復程序在三個月後，即 2022 年 12 月發布）。

該公司當時警告稱，RCE 錯誤正在被在野外利用攻擊來自南亞的組織。

9 月修補程序卷對所有受影響的實例（v19.0 MR1/19.0.1 及更早版本）發布，因為默認情況下啟用自動更新 - 除非管理員禁用該選項。

運行舊產品版本的 Sophos Firewall 實例必須手動升級到受支持的版本才能自動接收 CVE-2022-3236 修補程序。

無法修補易受攻擊軟件的管理員也可以通過禁用 WAN 訪問用戶門戶和 Webadmin。

數以千計的設備仍然易受攻擊

在互聯網上掃描 Sophos Firewall 設備時，VulnCheck 漏洞研究員 Jacob Baines 發現，在超過 88,000 個實例中，大約 6% 或超過 4,000 個正在運行未收到修補程序且易受 CVE-2022 攻擊的版本-3236攻擊。

“超過 99% 的面向互聯網的 Sophos 防火牆尚未升級到包含 CVE-2022-3236 官方修復程序的版本，”貝恩斯說。

“但大約 93% 的運行版本符合修補程序的條件，防火牆的默認行為是自動下載並應用修補程序（除非被管理員禁用）。

“仍然有 4,000 多個防火牆（約佔面向互聯網的 Sophos Firewall 的 6%）運行未收到修補程序的版本，因此容易受到攻擊。”

幸運的是，儘管已被用作零日漏洞，但 CVE-2022-3236 概念驗證漏洞尚未在線發布。

但是，Baines 能夠從趨勢科技的零日計劃 (ZDI) 共享的技術信息中重現該漏洞，因此威脅行為者很可能很快也能做到。

何時以及如果這種情況發生了，一旦威脅參與者創建了一個完整的漏洞利用版本並將其添加到他們的工具集中，這很可能會導致新一輪的攻擊。

Baines 還補充說，Sophos Firewall 可能會阻礙大規模利用，因為 Sophos Firewall 默認要求 Web 客戶端“在身份驗證期間解決驗證碼”。

要解決此限制並獲取易受攻擊的代碼，攻擊者必須包含一個自動驗證碼求解器。

修補 Sophos Firewall 漏洞非常重要，因為這不是第一次此類漏洞在野外被利用。

2022 年 3 月，Sophos 修補了一個在用戶門戶和 Webadmin 模塊中存在類似的嚴重 Sophos Firewall 錯誤 (CVE-2022-1040)，該錯誤允許身份驗證繞過和任意代碼執行攻擊。

也是自 3 月初（大約在 Sophos 發布補丁前三週）以來，被追踪為 DriftingCloud 的中國威脅組織在針對南亞組織的攻擊中利用作為零日漏洞。

A XG Firewall 中的零日 SQL 注入也被威脅行為者從 2020 年初開始濫用以竊取使用 Asnarök 木馬惡意軟件。

同樣的零日被利用到將 Ragnarok 勒索軟件負載傳送到 Windows 企業網絡。

美國東部時間 1 月 18 日 15:53 更新：文章發表後，Sophos 發送了以下聲明：

Sophos 立即採取措施通過 2022 年 9 月發送的自動修補程序修復此問題。我們還提醒未收到自動修補程序的用戶自行應用更新。

Baines 在他的文章中推測的其餘 6% 的面向 Internet 的版本正在運行不受支持的舊軟件版本。這是提醒這些用戶以及任何類型過時軟件的所有用戶遵循最佳安全實踐併升級到可用的最新版本的好機會，就像 Sophos 定期對其客戶所做的那樣。