Getty Images
Plus de 4 400 serveurs exposés à Internet exécutent des versions du pare-feu Sophos qui sont vulnérables à un exploit critique qui permet aux pirates d’exécuter du code malveillant, a averti un chercheur.
CVE-2022-3236 est une vulnérabilité d’injection de code permettant l’exécution de code à distance dans le portail utilisateur et Webadmin de Sophos Firewalls. Il porte une cote de gravité de 9,8 sur 10. Lorsque Sophos a révélé la vulnérabilité en septembre dernier, la société a averti qu’elle avait été exploitée à l’état sauvage comme un jour zéro. La société de sécurité a exhorté les clients à installer un correctif et, plus tard, un correctif complet pour prévenir l’infection.
Selon des recherches récemment publiées, plus de 4 400 serveurs exécutant le pare-feu Sophos restent vulnérables. Cela représente environ 6% de tous les pare-feu Sophos, a déclaré la société de sécurité VulnCheck, citant les chiffres d’une recherche sur Shodan.
« Plus de 99 % des pare-feu Sophos connectés à Internet n’ont pas été mis à niveau vers des versions contenant le correctif officiel pour CVE-2022-3236 », a écrit le chercheur de VulnCheck, Jacob Baines. « Mais environ 93 % exécutent des versions éligibles pour un correctif, et le comportement par défaut du pare-feu est de télécharger et d’appliquer automatiquement les correctifs (sauf s’ils sont désactivés par un administrateur). Il est probable que presque tous les serveurs éligibles à un correctif en aient reçu un, bien que des erreurs se produisent. Cela laisse encore plus de 4 000 pare-feu (soit environ 6 % des pare-feu Sophos connectés à Internet) exécutant des versions qui n’ont pas reçu de correctif et sont donc vulnérables.
Publicité
Le chercheur a déclaré qu’il était en mesure de créer un exploit fonctionnel pour la vulnérabilité sur la base des descriptions techniques de cet avis de la Zero Day Initiative. L’avertissement implicite de la recherche : si le code de l’exploit devient public, les serveurs susceptibles d’être infectés ne manquent pas.
Baines a exhorté les utilisateurs du pare-feu Sophos à s’assurer qu’ils sont corrigés. Il a également conseillé aux utilisateurs de serveurs vulnérables de vérifier deux indicateurs de compromission possible. Le premier est le fichier journal situé à : /logs/csc.log, et le second est /log/validationError.log. Lorsque l’un ou l’autre contient le champ _discriminator dans une demande de connexion, il y a probablement eu une tentative, réussie ou non, d’exploiter la vulnérabilité, a-t-il déclaré.
La doublure argentée de la recherche est que l’exploitation de masse n’est pas probable en raison d’un CAPTCHA qui doit être rempli lors de l’authentification par les clients Web.
“Le code vulnérable n’est atteint qu’après la validation du CAPTCHA”, a écrit Baines. “Un CAPTCHA échoué entraînera l’échec de l’exploit. Bien que cela ne soit pas impossible, la résolution de CAPTCHA par programmation est un obstacle majeur pour la plupart des attaquants. La plupart des pare-feu Sophos connectés à Internet semblent avoir le CAPTCHA de connexion activé, ce qui signifie que, même aux moments les plus opportuns, il est peu probable que cette vulnérabilité ait été exploitée avec succès à grande échelle.
