Cuma, Mart 29, 2024
Ana SayfaTeknoloji Haberleri4.400'den fazla Sophos güvenlik duvarı sunucusu, kritik açıklardan yararlanmaya karşı savunmasız durumda

4.400’den fazla Sophos güvenlik duvarı sunucusu, kritik açıklardan yararlanmaya karşı savunmasız durumda

Fotoğraf, bir ikili kod dizisinden virüs çıkaran bir güvenlik tarayıcısını gösteriyor.  kelime ile el

Getty Resimleri

Bir araştırmacı, 4.400’den fazla İnternet’e açık sunucunun, bilgisayar korsanlarının kötü amaçlı kod yürütmesine olanak tanıyan kritik bir açıktan yararlanmaya karşı savunmasız olan Sophos Güvenlik Duvarı sürümlerini çalıştırdığı konusunda uyardı.

CVE-2022-3236, Sophos Güvenlik Duvarlarının Kullanıcı Portalında ve Webadmin’de uzaktan kod yürütülmesine izin veren bir kod enjeksiyon güvenlik açığıdır. 10 üzerinden 9,8 önem derecesi taşıyor. Sophos geçen Eylül ayında bu güvenlik açığını açıkladığında, şirket bunun sıfır gün olarak kullanıldığı konusunda uyardı. Güvenlik şirketi, müşterileri bir düzeltme ve daha sonra bulaşmayı önlemek için tam gelişmiş bir yama yüklemeye çağırdı.

Yakın zamanda yayınlanan araştırmaya göre, Sophos güvenlik duvarını çalıştıran 4.400’den fazla sunucu savunmasız durumda. Güvenlik firması VulnCheck, Shodan’da yapılan bir aramadan elde edilen rakamlara atıfta bulunarak, bunun tüm Sophos güvenlik duvarlarının yaklaşık yüzde 6’sını oluşturduğunu söyledi.

VulnCheck araştırmacısı Jacob Baines, “İnternete bakan Sophos Güvenlik Duvarlarının %99’undan fazlası, CVE-2022-3236 için resmi düzeltmeyi içeren sürümlere yükseltme yapmadı” diye yazdı. “Ancak yaklaşık %93’ü bir düzeltme için uygun sürümleri çalıştırıyor ve güvenlik duvarının varsayılan davranışı, düzeltmeleri otomatik olarak indirip uygulamaktır (yönetici tarafından devre dışı bırakılmadığı sürece). Hatalar olmasına rağmen, bir düzeltme için uygun olan hemen hemen tüm sunucuların bir düzeltme almış olması muhtemeldir. Bu, hala bir düzeltme almayan ve bu nedenle savunmasız olan sürümleri çalıştıran 4.000’den fazla güvenlik duvarını (veya İnternet’e bakan Sophos Güvenlik Duvarlarının yaklaşık %6’sını) geride bırakıyor.”

Araştırmacı, Zero Day Initiative’in bu danışma belgesindeki teknik açıklamalara dayalı olarak güvenlik açığı için çalışan bir istismar oluşturmayı başardığını söyledi. Araştırmanın zımni uyarısı: İstismar kodu halka açık hale gelirse, virüs bulaşabilecek sunucu sıkıntısı olmaz.

Baines, Sophos güvenlik duvarı kullanıcılarını yamalandıklarından emin olmaya çağırdı. Ayrıca, savunmasız sunucuların kullanıcılarına olası uzlaşmanın iki göstergesini kontrol etmelerini tavsiye etti. İlki /logs/csc.log adresinde bulunan günlük dosyasıdır ve ikincisi /log/validationError.log’dur. Her ikisi de bir oturum açma isteğinde the_discriminator alanını içerdiğinde, güvenlik açığından yararlanmak için başarılı veya başarısız bir girişimde bulunulduğunu söyledi.

Araştırmadaki umut ışığı, web istemcileri tarafından kimlik doğrulaması sırasında tamamlanması gereken bir CAPTCHA nedeniyle kitlesel istismarın olası olmamasıdır.

Baines, “Savunmasız koda yalnızca CAPTCHA doğrulandıktan sonra ulaşılır” diye yazdı. “Başarısız bir CAPTCHA, açıktan yararlanmanın başarısız olmasına neden olur. İmkansız olmasa da CAPTCHA’ları program aracılığıyla çözmek çoğu saldırgan için büyük bir engeldir. İnternete bakan Sophos Güvenlik Duvarlarının çoğunda oturum açma CAPTCHA’sı etkin görünüyor, bu da en uygun zamanlarda bile bu güvenlik açığından büyük ölçekte başarılı bir şekilde yararlanılmasının olası olmadığı anlamına geliyor.

RELATED ARTICLES

Popüler Konular