حذر أحد الباحثين من أن أكثر من 4400 خادم مكشوف للإنترنت تشغل إصدارات من جدار حماية سوفوس المعرضة لاستغلال خطير يسمح للقراصنة بتنفيذ تعليمات برمجية ضارة.
CVE-2022-3236 عبارة عن ثغرة أمنية تسمح بإدخال التعليمات البرمجية تسمح بتنفيذ التعليمات البرمجية عن بُعد في بوابة المستخدم و Webadmin الخاص بجدران حماية Sophos. يحمل تصنيف شدة 9.8 من 10. عندما كشفت Sophos عن الثغرة الأمنية في سبتمبر الماضي ، حذرت الشركة من أنه تم استغلالها في البرية كاليوم صفر. حثت شركة الأمان العملاء على تثبيت إصلاح عاجل ، ثم تصحيحًا كاملًا لاحقًا لمنع العدوى.
وفقًا لبحث نُشر مؤخرًا ، لا يزال أكثر من 4400 خادم يشغل جدار الحماية Sophos عرضة للخطر. وقالت شركة الأمن VulnCheck إن هذا يمثل حوالي 6 في المائة من جميع جدران الحماية من Sophos ، مستشهدة بأرقام من بحث على Shodan.
كتب الباحث في VulnCheck Jacob Baines: "أكثر من 99٪ من Sophos Firewalls التي تواجه الإنترنت لم تتم ترقيتها إلى إصدارات تحتوي على الإصلاح الرسمي ل CVE-2022-3236". "ولكن حوالي 93٪ يقومون بتشغيل إصدارات مؤهلة للحصول على إصلاح عاجل ، والسلوك الافتراضي لجدار الحماية هو تنزيل الإصلاحات العاجلة وتطبيقها تلقائيًا (ما لم يتم تعطيلها من قبل المسؤول). من المحتمل أن تكون جميع الخوادم المؤهلة للإصلاح العاجل تقريبًا قد تلقت واحدًا ، على الرغم من حدوث أخطاء. لا يزال هذا يترك أكثر من 4000 جدار حماية (أو حوالي 6٪ من Sophos Firewalls المواجهة للإنترنت) تعمل بإصدارات لا تتلقى إصلاحات عاجلة وبالتالي فهي معرضة للخطر ".
كتب الباحث في VulnCheck Jacob Baines: "أكثر من 99٪ من Sophos Firewalls التي تواجه الإنترنت لم تتم ترقيتها إلى إصدارات تحتوي على الإصلاح الرسمي ل CVE-2022-3236". "ولكن حوالي 93٪ يقومون بتشغيل إصدارات مؤهلة للحصول على إصلاح عاجل ، والسلوك الافتراضي لجدار الحماية هو تنزيل الإصلاحات العاجلة وتطبيقها تلقائيًا (ما لم يتم تعطيلها من قبل المسؤول). من المحتمل أن تكون جميع الخوادم المؤهلة للإصلاح العاجل تقريبًا قد تلقت واحدًا ، على الرغم من حدوث أخطاء. لا يزال هذا يترك أكثر من 4000 جدار حماية (أو حوالي 6٪ من Sophos Firewalls المواجهة للإنترنت) تعمل بإصدارات لا تتلقى إصلاحات عاجلة وبالتالي فهي معرضة للخطر ".
قال الباحث إنه كان قادرًا على إنشاء استغلال عملي للثغرة الأمنية استنادًا إلى الأوصاف الفنية في هذا الاستشارة من مبادرة Zero Day. التحذير الضمني للبحث: إذا أصبح استغلال الشفرة علنيًا ، فلا يوجد نقص في الخوادم التي يمكن أن تصاب.
حث Baines مستخدمي جدار الحماية Sophos على التأكد من تصحيحهم. كما نصح مستخدمي الخوادم الضعيفة بالتحقق من وجود مؤشرين للاختراق المحتمل. الأول هو ملف السجل الموجود على: /logs/csc.log ، والثاني هو /log/validationError.log. وقال إنه عندما يحتوي إما على الحقل_discriminator في طلب تسجيل الدخول ، فمن المحتمل أن تكون هناك محاولة ، ناجحة أو غير ذلك ، لاستغلال الثغرة الأمنية.
الجانب المشرق في البحث هو أن الاستغلال الجماعي غير محتمل بسبب اختبار CAPTCHA الذي يجب إكماله أثناء المصادقة بواسطة عملاء الويب.
كتب بينز: "لا يتم الوصول إلى الشفرة الضعيفة إلا بعد التحقق من صحة اختبار CAPTCHA". "اختبار CAPTCHA الفاشل سيؤدي إلى فشل الاستغلال. على الرغم من أنه ليس مستحيلًا ، فإن حل كابتشا برمجيًا يمثل عقبة كبيرة لمعظم المهاجمين. يبدو أن معظم جدران الحماية Sophos المواجهة للإنترنت قد تم تمكين اختبار CAPTCHA الخاص بتسجيل الدخول ، مما يعني ، حتى في الأوقات الأكثر ملاءمة ، أنه من غير المحتمل أن يتم استغلال هذه الثغرة الأمنية بنجاح على نطاق واسع. "