Критическая уязвимость, связанная с внедрением кода в Sophos Firewall, была исправлена, но не раньше, чем злоумышленники обнаружили и воспользовались этой ошибкой.
Уязвимость, отслеживаемая как CVE-2022-3236, существует в компонентах User Portal и Webadmin брандмауэра в версиях 19.0 и старше. Хотя ему не была присвоена оценка серьезности CVSS, Sophos посчитала его «критическим» и отметила, что он допускает удаленное выполнение кода.
«Компания Sophos обнаружила, что эта уязвимость используется для нападения на небольшой набор конкретных организаций, в основном в регионе Южной Азии», — отметил поставщик в своем сообщении. консультативный этот месяц. «Мы проинформировали каждую из этих организаций напрямую».
На прошлой неделе британский поставщик программного обеспечения для обеспечения безопасности выпустил исправления для поддерживаемых версий (от 17.0 до 19.0), а также предоставил обходной путь, который включал отключение доступа к глобальной сети к пользовательскому порталу и веб-администратору.
Sophos также заявила, что продолжает расследование и предоставит дополнительную информацию позднее.
По состоянию на вторник, блоги магазина безопасности, которые регулярно описывают уязвимости и эксплойты, затрагивающие других поставщиков программного обеспечения, не упоминали о собственной критической ошибке брандмауэра.
Однако другие поставщики программного обеспечения и исследователи безопасности взвесить об ошибке Sophos с одним предупреждением о «высокой» вероятности массовой эксплуатации. Не менее 28 CISA Известные эксплуатируемые уязвимости включать внедрение кода, Иммануэль Чавоя твитнул:
🚨 RCE в брандмауэре Sophos эксплуатируется в дикой природеCVE-2022-3236У этого есть ВЫСОКАЯ вероятность массовой эксплуатации, учитывая, что уязвимость основана на внедрении кода (CWE-94), и если мы посмотрим на #СНИЗ KEV, по крайней мере 28 из них связаны с внедрением кода…https://t.co/TUtBLbBeRQ pic.twitter.com/MgzXCWwgwr
— Иммануэль Чавоя (@FullM3talPacket) 23 сентября 2022 г.
И хотя Sophos еще не сообщила, кто, по ее мнению, воспользовался ошибкой для атак на южноазиатские организации, спонсируемый государством преступники стояли за более ранними атаками в этом году, которые были связаны с критическим недостатком в Sophos Firewall.
Буквально на прошлой неделе Recorded Future опубликовал исследовательская работа в нескольких кампаниях это приписывалось бригадам, связанным с Пекином, которые были замечены в злоупотреблении программной ошибкой в Sophos Firewall, которую поставщик программного обеспечения исправлено в апреле.
Эта более ранняя критическая уязвимость удаленного выполнения кода, отслеживаемая как CVE-2022-1040, также использовалась для атак на организации в Южной Азии. Согласно Recorded Future, по крайней мере три группы, спонсируемые государством Китая, воспользовались этой ошибкой, чтобы получить первоначальный несанкционированный доступ к сетям жертв.
Sophos, по-своему изучение опубликованный в июне, сообщалось, что как минимум две группы продвинутых постоянных угроз использовали CVE-2022-1040, прежде чем они смогли выпустить исправление. Уязвимость использовалась для развертывания вредоносных программ на зараженных устройствах.
Неприятное программное обеспечение, помимо других гнусных действий, позволило злоумышленникам установить бэкдор-инструменты и украсть конфиденциальные данные; писать, читать и изменять файлы и настройки на скомпрометированных устройствах; а в некоторых случаях получить полный контроль над средой, в которой он работал. ®
