Sophos bugün, şirketin Güvenlik Duvarı ürünündeki kritik bir kod yerleştirme güvenlik açığının vahşi ortamda istismar edildiği konusunda uyardı.
Güvenlik yazılımı ve donanım satıcısı, “Sophos, bu güvenlik açığının başta Güney Asya bölgesinde olmak üzere küçük bir dizi belirli kuruluşu hedef almak için kullanıldığını gözlemledi” diye uyardı.
“Bu kuruluşların her birini doğrudan bilgilendirdik. Soruşturmaya devam ederken Sophos daha fazla ayrıntı sağlayacaktır.”
CVE-2022-3236 olarak izlenen kusur, Sophos Güvenlik Duvarı’nın Kullanıcı Portalı ve Web Yöneticisi’nde bulundu ve saldırganların kod yürütmesine (RCE) izin verdi.
Şirket, bu güvenlik hatasından (v19.0 MR1 (19.0.1) ve daha eski sürümler) etkilenen Sophos Güvenlik Duvarı sürümleri için otomatik güncellemeler varsayılan olarak etkinleştirildiğinden tüm örneklere otomatik olarak dağıtılacak düzeltmeler yayınladığını söylüyor.
Sophos, “Düzeltilmiş sürümlerde ‘Düzeltmelerin otomatik yüklenmesine izin ver’ özelliği etkinleştirilmiş olan Sophos Güvenlik Duvarı müşterileri için herhangi bir işlem yapılması gerekmez (aşağıdaki Düzeltme bölümüne bakın). Varsayılan ayar Etkin’dir,” dedi.
Ancak şirket, Sophos Güvenlik Duvarı’nın eski sürümlerinin kullanıcılarının CVE-2022-3236 yamasını alabilmek için desteklenen bir sürüme geçmeleri gerektiğini de sözlerine ekledi.
Ayrıca hakkında ayrıntılı bilgi sağlar otomatik düzeltme yükleme özelliğini etkinleştirme ve düzeltmenin başarıyla yüklenip yüklenmediğini kontrol etme.
Sophos ayrıca güvenlik açığı bulunan yazılıma hemen yama yapamayan müşteriler için güvenlik duvarının Kullanıcı Portalı ve Webadmin’in WAN erişimine maruz kalmamasını sağlamalarını gerektirecek bir geçici çözüm sağlar.
“Kullanıcı Portalı ve Webadmin’e WAN erişimini aşağıdaki şekilde devre dışı bırakın: cihaz erişimi en iyi uygulamaları ve bunun yerine uzaktan erişim ve yönetim için VPN ve/veya Sophos Central (tercih edilen) kullanın” diye ekledi.
Daha önce saldırılarda hedeflenen Sophos Güvenlik Duvarı kusurları
Sophos Güvenlik Duvarı hatalarınızı yamalamak, özellikle bu, vahşi doğada istismar edilen ilk kusur olmadığı için kritik derecede önemlidir.
Örneğin, Sophos bir yama benzer kritik Sophos Güvenlik Duvarı hatası (CVE-2022-1040) Mart ayında Kullanıcı Portalı ve Webadmin’de keşfedildi ve tehdit aktörlerinin kimlik doğrulamasını atlamasına ve rastgele kod yürütmesine izin verdi.
Tıpkı CVE-2022-3236 gibi saldırılarda da kullanıldı ağırlıklı olarak Güney Asya’daki kuruluşlara odaklandı. Volexity’nin daha sonra keşfettiği gibi, DriftingCloud olarak izlenen bir Çinli tehdit grubu, Sophos’un yamaları yayınlamasından yaklaşık üç hafta önce, Mart ayının başından bu yana CVE-2022-1040’ı sıfır gün olarak kullandı.
Tehdit aktörleri de istismar etti bir XG Güvenlik Duvarı SQL enjeksiyonu sıfır gün kullanıcı adları ve şifreler gibi hassas verileri çalma hedefiyle 2020’nin başlarından itibaren.
Sıfır günün kullanıldığı saldırılar kapsamında, Asnarök truva atı kötü amaçlı yazılımı savunmasız XG Güvenlik Duvarı örneklerinden güvenlik duvarı kimlik bilgilerini çalmak için bunu kullandı.
Aynı sıfır gün Ragnarok fidye yazılımı yüklerini zorlayın Windows kurumsal ağlarına.