Sophos bugün, şirketin güvenlik duvarı ürünündeki kritik bir kod enjeksiyon güvenlik açığının vahşi doğada kullanıldığı konusunda uyardı.
Güvenlik yazılımı ve donanım satıcısı, "Sophos, bu güvenlik açığının, öncelikle Güney Asya bölgesinde olmak üzere küçük bir dizi kuruluşu hedeflemek için kullanıldığını gözlemledi."
Diyerek şöyle devam etti: "Bu kuruluşların her birini doğrudan bilgilendirdik. Sophos, araştırmaya devam ederken daha fazla ayrıntı sağlayacak."
CVE-2022-3236 olarak izlenen kusur, Sophos güvenlik duvarının kullanıcı portalı ve Webadmin'inde bulundu ve saldırganların yürütülmesine (RCE) izin verildi.
Şirket, otomatik güncellemeler varsayılan olarak etkinleştirildiğinden tüm örneklere otomatik olarak açılacak olan bu güvenlik hatasından (V19.0 MR1 (19.0.1) ve daha eski) etkilenen Sophos güvenlik duvarı sürümleri için sıcaklıklar yayınladığını söylüyor.
Sophos, "Sophos güvenlik duvarı müşterileri için 'Hotfixes'in otomatik olarak yüklenmesine izin ver' özelliğine etkinleştirilmiş sürümlerde etkinleştirildi (aşağıdaki iyileştirme bölümüne bakın). Etkinlik varsayılan ayardır."
Ancak şirket, Sophos güvenlik duvarının eski sürümlerinin kullanıcılarının CVE-2022-3236 yamasını almak için desteklenen bir sürüme yükseltmesi gerektiğini de sözlerine ekledi.
Ayrıca, otomatik Hotfix kurulum özelliğini etkinleştirme ve hotfix'in başarıyla yüklenip yüklenmediğini kontrol etme hakkında ayrıntılı bilgi sağlar.
Sophos ayrıca, güvenlik duvarının kullanıcı portalının ve Webadmin'in WAN erişimine maruz kalmamasını sağlamak için onları gerektirecek savunmasız yazılımı hemen yamalayamayan müşteriler için bir çözüm sunar.
Şirket, "Cihaz erişiminin en iyi uygulamalarını takip ederek WAN kullanıcı portalına ve WebAdmin'e erişimi devre dışı bırakın ve bunun yerine uzaktan erişim ve yönetim için VPN ve/veya Sophos Central'ı (tercih edilen) kullanın."
Sophos güvenlik duvarı hatalarınızı yamalamak kritik öneme sahiptir, özellikle de bu, vahşi doğada sömürülen ilk kusur değildir.
Örneğin, Sophos, Mart ayında benzer bir kritik Sophos güvenlik duvarı hatası (CVE-2022-1040) yamaladı, kullanıcı portalı ve Webadmin'de keşfedildi ve tehdit aktörlerinin kimlik doğrulamasını atlamasına ve keyfi kod yürütmesine izin verdi.
Tıpkı CVE-2022-3236 gibi, esas olarak Güney Asya'dan kuruluşlara odaklanan saldırılarda da sömürüldü. Volexity'nin daha sonra bulduğu gibi, bir Çin tehdit grubu, DriftingCloud'un CVE-2022-1040'ı Mart ayının başından beri sıfır gün olarak kullandığı için izledi, Sophos'un yamalar yayınlamasından yaklaşık üç hafta önce.
Tehdit aktörleri ayrıca 2020'nin başından itibaren kullanıcı adları ve şifreler gibi hassas verileri çalmak amacıyla XG güvenlik duvarı SQL enjeksiyonu sıfır gününü kötüye kullandılar.
Sıfır günün kullanıldığı saldırıların bir parçası olarak, Asnarök Truva kötü amaçlı yazılımı, savunmasız XG güvenlik duvarı örneklerinden güvenlik duvarı kimlik bilgilerini denemek ve çalmaya çalışmak için sömürdü.
Aynı sıfır günü, Ragnarok fidye yazılımı yüklerini Windows Enterprise Networks'e itmek için kullanıldı.
Trend Micro, aktif olarak sömürülen apeks bir RCE güvenlik açığı konusunda uyarıyor
Zimbra Auth Bypass hatası 1000'den fazla sunucuyu ihlal etmek için kullanıldı
CISA, ajanslara stuxnet saldırılarında kullanılan güvenlik açığını yamaya sipariş eder
Ukrayna, müttefikleri Rusya'nın siber saldırıları artırmayı planladığı konusunda uyarıyor
Yeni saldırı artışını hedefleyen eleştirel magento güvenlik açığı
Kaynak: Bleeping Computer