Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Ancora 4.000 dispositivi Sophos Firewall sono vulnerabili alla RCE pre-auth di settembre

Redazione RHC : 18 Gennaio 2023 06:59

Oltre 4.000 dispositivi “Sophos Firewall” esposti su Internet risultano vulnerabili ad un bug critico di esecuzione remota del codice (RCE).

Sophos ha rivelato in precedenza questo difetto di code injection, monitorato con il CVE-2022-3236. Tale difetto è sfruttabile utilizzando il portale utenti Webadmin di Sophos Firewall. L’azienda ha rilasciato una patch di sicurezza a settembre ed ha avvertito all’epoca che il bug veniva sfruttato in attacchi contro organizzazioni dell’Asia meridionale.

Gli hotfix di settembre sono automatici e sono stati implementati sulle istanze interessate (v19.0 MR1/19.0.1 e precedenti). Risultano quindi ancora da aggiornare quei firewall dove gli amministratori hanno spento l’auto update per qualche motivazione tecnica.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]



Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


Le istanze di Sophos Firewall che invece eseguivano versioni precedenti del prodotto, devono essere aggiornate manualmente. Questo per garantire di ricevere automaticamente l’hotfix per il CVE-2022-3236.

Gli amministratori che non sono in grado di applicare le patch, possono rimuovere l’accesso al Portale utenti Webadmin disabilitando il servizio.

Cosa è stato rilevato

VulnCheck Jacob Baines, un ricercatore di sicurezza informatica, ha scoperto effettuando una scansione che su oltre 88.000 istanze, circa il 6% non hanno ancora ricevuto una patch.

Questo sta a significare che più di 4.000 firewall ad oggi possono essere compromessi.

“Oltre il 99% dei Sophos Firewall accessibili da Internet non sono stati aggiornati a versioni contenenti la correzione ufficiale per il CVE-2022-3236”, ha affermato Baines .

Fortunatamente, nonostante sia già stato sfruttato come zero-day, un exploit proof-of-concept per il CVE-2022-3236 deve ancora essere pubblicato online.

Baines è stato in grado di riprodurre l’exploit dalle informazioni tecniche condivise da Zero Day Initiative (ZDI) di Trend Micro. E’ quindi probabile che anche gli attori delle minacce saranno presto in grado di farlo.

Ma nella gravità del problema c’è un piccolo vantaggio

Baines ha anche aggiunto che lo sfruttamento di massa probabilmente essere ostacolato dal fatto che il client Web per impostazione predefinita chiede “di risolvere un captcha durante l’autenticazione”.

Per aggirare questa limitazione e raggiungere il codice vulnerabile, gli aggressori dovrebbero includere un risolutore automatico di CAPTCHA.

Sfida CAPTCHA di Sophos Firewall
Sfida CAPTCHA di Sophos Firewall (Jacob Baines)

La correzione dei bug di Sophos Firewall è di fondamentale importanza. Infatti non sarebbe la prima volta che una tale vulnerabilità viene sfruttata attivamente per violare le organizzazioni.

pertanto per chi ancora non ha effettuato l’aggiornamento, è consigliabile di effettuarlo immediatamente.

Sophos scrive a Red Hot Cyber

Su questo articolo, abbiamo ricevuto una mail da parte dell’ufficio stampa di Sophos che ha riportato quanto segue:

“Sophos ha provveduto immediatamente a risolvere questo problema con un hotfix automatico inviato nel settembre 2022. Abbiamo inoltre avvisato gli utenti che non ricevono hotfix automatici di applicare l’aggiornamento autonomamente.  Il restante 6% delle versioni che si interfacciano con Internet, secondo le stime di Baines nel suo articolo, utilizza versioni vecchie e non supportate del software. Questa è una buona occasione per ricordare a questi utenti, così come a tutti gli utenti di qualsiasi tipo di software obsoleto, di seguire le migliori pratiche di sicurezza e di aggiornare alla versione più recente disponibile, come Sophos fa regolarmente con i suoi clienti.”

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Ha 13 anni e ha hackerato Microsoft Teams! La storia di Dylan, uno tra i più giovani bug hunter

A soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...

Truffe e Schiavitù Digitali: La Cambogia è la Capitale Mondiale della Frode Online

Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...

Dopo aver criptato mezzo mondo, Hunters International chiude! Distribuito gratuitamente il Decryptor

Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...

Da AI white ad AI black il passo è breve. Nuovi strumenti per Script Kiddies bussano alle porte

I ricercatori di Okta  hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...

Se è gratuito, il prodotto sei tu. Google paga 314 milioni di dollari per violazione dei dati agli utenti Android

Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...