Η εταιρεία Sophos αποφάσισε να εφαρμόσει μια ενημέρωση ασφαλείας για το CVE-2022-3236 σε παλαιότερες εκδόσεις του firewall firmware, μετά την ανακάλυψη ότι χάκερς εκμεταλλεύονται ενεργά την αδυναμία σε επιθέσεις.
Δείτε επίσης: SophosEncrypt: Νέο ransomware υποδύεται την εταιρεία Sophos
Το πρόβλημα είναι μια αδυναμία εισαγωγής κώδικα στο User Portal και το Webadmin του Sophos Firewall, που επιτρέπει την απομακρυσμένη εκτέλεση κώδικα.
Η Sophos διόρθωσε το πρόβλημα ασφαλείας τον Σεπτέμβριο του 2022, όταν προειδοποίησε για ενεργή εκμετάλλευση από κακόβουλους παράγοντες, επηρεάζοντας εκδόσεις 19.0.1 και παλαιότερες.
Παρόλο που το hotfix αναβαθμίστηκε αυτόματα σε συσκευές που έχουν ρυθμιστεί να αποδέχονται αυτόματες ενημερώσεις ασφαλείας από τον προμηθευτή, μέχρι τον Ιανουάριο του 2023, πάνω από 4.000 εκτεθειμένες στο διαδίκτυο συσκευές παρέμειναν ευάλωτες σε επιθέσεις.
Πολλές από αυτές τις συσκευές ήταν παλιότερα μοντέλα που εκτελούσαν λογισμικό στο τέλος της διάρκειας ζωής τους και απαιτούσαν την εφαρμογή μέτρων αντιμετώπισης ή τη χειροκίνητη εφαρμογή της επιδιόρθωσης, και οι χάκερς εκμεταλλεύτηκαν αυτό το κενό.
“Τον Δεκέμβριο του 2023, παρείχαμε μια ενημερωμένη διόρθωση αφού εντοπίσαμε νέες προσπάθειες εκμετάλλευσης εναντίον της ίδιας ευπάθειας σε παλαιότερες, μη υποστηριζόμενες εκδόσεις του Sophos Firewall“, αναφέρεται στον ενημερωμένο δελτίο ασφαλείας.
“Αμέσως αναπτύξαμε έναν patch για συγκεκριμένες εκδόσεις ανενεργού λογισμικού, το οποίο εφαρμόστηκε αυτόματα στο 99% των επηρεασμένων οργανισμών που έχουν ενεργοποιημένη την επιλογή “αποδοχή hotfix“.
“Οι επιτιθέμενοι συνήθως κυνηγούν συσκευές και υλικολογισμικό που έχουν φτάσει στο τέλος του κύκλου ζωής τους από οποιονδήποτε προμηθευτή τεχνολογίας, γι ‘αυτό συνιστούμε ανεπιφύλακτα στoyς οργανισμούς να αναβαθμίσουν τις συσκευές και το υλικολογισμικό που έχουν φτάσει στο τέλος του κύκλου ζωής τους στις πιο πρόσφατες εκδόσεις.“
Δείτε ακόμα: Sophos: Άλλη μια εταιρεία που ανακοινώνει απολύσεις
Εάν η επιλογή αυτόματης ενημέρωσης για αντιμετώπιση προβλημάτων έχει απενεργοποιηθεί, συνιστάται να την ενεργοποιήσετε και στη συνέχεια να ακολουθήσετε αυτόν τον οδηγό για να επαληθεύσετε ότι η διόρθωση προβλημάτων έχει εφαρμοστεί.
Αντί αυτού, έχετε τη δυνατότητα να ενημερώσετε χειροκίνητα σε μία από τις παρακάτω εκδόσεις του Sophos Firewall. Αυτές οι εκδόσεις επικεντρώνονται ειδικά στο πρόβλημα με το CVE-2022-3236 και το αντιμετωπίζουν:
- v19.0 GA, MR1, and MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
- v18.0 MR3, MR4, MR5, and MR6
- v17.5 MR12, MR13, MR14, MR15, MR16, and MR17
- v17.0 MR10
- v19.0 GA, MR1, and MR1-1
- v18.5 GA, MR1, MR1-1, MR2, MR3, and MR4
- v17.0 MR10
Εάν χρησιμοποιείτε μια ακόμα παλαιότερη έκδοση του Sophos Firewall, συνιστάται να αναβαθμίσετε σε μία από τις παραπάνω εκδόσεις.
Σε περιπτώσεις όπου είναι αδύνατη η ενημέρωση, η συνιστώμενη προσωρινή λύση είναι η περιορισμένη πρόσβαση WAN στο User Portal και το Webadmin, ακολουθώντας αυτές τις οδηγίες, και αντ’ αυτού χρησιμοποιήστε VPN ή το Sophos Central για απομακρυσμένη πρόσβαση και διαχείριση.
Δείτε επίσης: Sophos Firewall: Ευπάθεια θέτει σε κίνδυνο χιλιάδες συσκευές
Οι επιθέσεις RCE (Remote Code Execution) αποτελούν μια από τις πιο επικίνδυνες μορφές επιθέσεων στα συστήματα. Για να προλάβουμε αυτού του είδους τις επιθέσεις, υπάρχουν κάποιες κύριες μεθόδοι πρόληψης που μπορούμε να ακολουθήσουμε.
Μια από τις βασικές μεθόδους πρόληψης είναι η ενημέρωση και ο επαναπρογραμματισμός των ευπαθών συστημάτων. Είναι σημαντικό να εγκαθιστούμε τακτικά τις ενημερώσεις ασφαλείας και να ελέγχουμε την ασφάλεια του κώδικα που χρησιμοποιούμε.
Επίσης, η εφαρμογή authentication και εξουσιοδότησης είναι ζωτικής σημασίας για την πρόληψη των επιθέσεων RCE. Αυτό περιλαμβάνει την χρήση ισχυρών κωδικών πρόσβασης, την περιορισμένη πρόσβαση σε ευαίσθητες λειτουργίες και την παρακολούθηση των δικαιωμάτων χρήστη.
Επιπλέον, η απομόνωση των εφαρμογών και η εφαρμογή αυστηρών πολιτικών ασφαλείας μπορούν να βοηθήσουν στην πρόληψη των επιθέσεων RCE. Αυτό περιλαμβάνει την χρήση ειδικών εργαλείων απομόνωσης, την εφαρμογή αυστηρών κανόνων πρόσβασης και την περιορισμένη εκτέλεση κώδικα από απροσδιόριστες πηγές.
Πηγή: bleepingcomputer
