Een kwetsbaarheid in Sophos Firewall die in september ontdekt werd, kan nog steeds meer dan vierduizend internetservers treffen. Toch heeft Sophos de schade kunnen beperken.
Sophos trok in september 2022 aan de alarmbel voor een zeroday ontdekt in het onderliggende besturingssysteem voor firewalls. De kwetsbaarheid stelde kwaadwille actoren in staat om schadelijke code te injecteren in Sophos Firewall. Reden genoeg voor Sophos om de kwetsbaarheid als zeer ernstig te labelen (CVSS 9.8) en vrijwel onmiddellijk een hotfix uit te sturen. Een volledige patch volgde in december.
lees ook
Beveiligingstip: een firewall alleen volstaat niet
4.400 firewalls kwetsbaar
Hoewel Sophos in september waarschuwde voor actief misbruik, is er maar weinig informatie bekend over de impact. Beveiligingsonderzoeker Jacob Baines van VulnCheck ging daarop maar zelf op onderzoek uit. Slechts één procent van alle gebruikers van Sophos-firewalls zou de patch van december al hebben geïnstalleerd.
Dat is volgens Baines niet zo problematisch, aangezien de hotfix automatisch op de firewall werd geïnstalleerd tenzij de gebruikers de automatische installatie manueel had uitgeschakeld. Daardoor vermoedt de onderzoeker dat 93 procent van de firewalls van minimaal de hotfix voorzien is.
Daarmee blijft een zes procent firewalls, ofwel ongeveer 4.400, over die een verouderde versie draaien waarvoor geen patch beschikbaar is. Deze gebruikers worden geadviseerd hun firewall zo snel mogelijk te updaten naar een ondersteunde versie. Via de logbestanden kan je speuren naar verdachte activiteit in je firewall.
Schade beperkt
Ondanks dat er kwetsbare firewalls in omloop blijven, verdient Sophos een pluim voor het de kwetsbaarheid aanpakte. De beveiligingsleverancier was snel bij de pinken om in afwachting van een volledige patch al een tijdelijke hotfix uit te rollen. Ook hebben de standaardinstellingen van de firewall al veel schade kunnen voorkomen.
De firewalls zijn voorzien van een CAPTCHA om toegang tot het beheercentrum te regelen. CAPTCHA worden wel eens als zeer irritant ervaren, maar hebben als voordeel dat bots nog altijd zeer veel moeite hebben om ze op te lossen. Dit maakte het voor de aanvallers moeilijker om tot bij de kwetsbare code te geraken, waardoor het aantal aanvallen met deze kwetsbaarheid waarschijnlijk beperkt is gebleven.