Sophos Güvenlik Duvarı Sunucuları Kritik Açıklardan Yararlanabilir


Getty Resimleri

Bir araştırmacı, 4.400’den fazla İnternet’e açık sunucunun, bilgisayar korsanlarının kötü amaçlı kod yürütmesine olanak tanıyan kritik bir açıktan yararlanmaya karşı savunmasız olan Sophos Güvenlik Duvarı sürümlerini çalıştırdığı konusunda uyardı.

CVE-2022-3236, Sophos Güvenlik Duvarlarının Kullanıcı Portalında ve Webadmin’de uzaktan kod yürütülmesine izin veren bir kod ekleme güvenlik açığıdır. 10 üzerinden 9,8 önem derecesi taşıyor. Sophos geçen Eylül ayında bu güvenlik açığını açıkladığında, şirket bunun sıfır gün olarak kullanıldığı konusunda uyardı. Güvenlik şirketi, müşterileri bir düzeltme ve daha sonra bulaşmayı önlemek için tam gelişmiş bir yama yüklemeye çağırdı.

Yakın zamanda yayınlanan bir araştırmaya göre, Sophos güvenlik duvarını çalıştıran 4.400’den fazla sunucu savunmasız durumda. Güvenlik firması VulnCheck, Shodan’da yapılan bir aramadan elde edilen rakamlara atıfta bulunarak, bunun tüm Sophos güvenlik duvarlarının yaklaşık yüzde 6’sını oluşturduğunu söyledi.

VulnCheck araştırmacısı Jacob Baines, “İnternete bakan Sophos Güvenlik Duvarlarının %99’undan fazlası, CVE-2022-3236 için resmi düzeltmeyi içeren sürümlere yükseltme yapmadı” diye yazdı. “Ancak yaklaşık %93’ü bir düzeltme için uygun sürümleri çalıştırıyor ve güvenlik duvarının varsayılan davranışı, düzeltmeleri otomatik olarak indirmek ve uygulamaktır (yönetici tarafından devre dışı bırakılmadığı sürece). Hatalar olmasına rağmen, bir düzeltme için uygun olan hemen hemen tüm sunucuların bir düzeltme almış olması muhtemeldir. Bu, hala bir düzeltme almayan ve bu nedenle savunmasız olan sürümleri çalıştıran 4.000’den fazla güvenlik duvarını (veya İnternet’e yönelik Sophos Güvenlik Duvarlarının yaklaşık %6’sını) geride bırakıyor.”

İlan

Araştırmacı, Zero Day Initiative’in bu danışma belgesindeki teknik açıklamalara dayalı olarak güvenlik açığı için çalışan bir istismar oluşturmayı başardığını söyledi. Araştırmanın zımni uyarısı: İstismar kodu halka açık hale gelirse, virüs bulaşabilecek sunucu sıkıntısı olmaz.

Baines, Sophos güvenlik duvarı kullanıcılarını yamalandıklarından emin olmaya çağırdı. Ayrıca, savunmasız sunucuların kullanıcılarına olası uzlaşmanın iki göstergesini kontrol etmelerini tavsiye etti. İlki /logs/csc.log konumunda bulunan günlük dosyasıdır ve ikincisi /log/validationError.log’dur. Her ikisi de bir oturum açma isteğinde the_discriminator alanını içerdiğinde, güvenlik açığından yararlanmak için başarılı veya başarısız bir girişimde bulunulduğunu söyledi.

Araştırmadaki umut ışığı, web istemcileri tarafından kimlik doğrulaması sırasında tamamlanması gereken bir CAPTCHA nedeniyle kitlesel istismarın olası olmamasıdır.

Baines, “Savunmasız koda yalnızca CAPTCHA doğrulandıktan sonra ulaşılır” diye yazdı. “Başarısız bir CAPTCHA, açıktan yararlanmanın başarısız olmasına neden olur. İmkansız olmasa da CAPTCHA’ları program aracılığıyla çözmek çoğu saldırgan için büyük bir engeldir. İnternete bakan Sophos Güvenlik Duvarlarının çoğunda oturum açma CAPTCHA’sı etkin görünüyor, bu da en uygun zamanlarda bile bu güvenlik açığından büyük ölçekte başarılı bir şekilde yararlanılmasının olası olmadığı anlamına geliyor.


Kaynak : https://insidexpress.com/technology/sophos-firewall-servers-vulnerable-to-critical-exploits/

Yorum yapın

SMM Panel PDF Kitap indir