据一位网络安全专家称,黑客可能已经部署了一个关键漏洞,攻击了超过4400台安装Sophos防火墙的服务器。
报告称,网络犯罪分子可能利用了这种情况,对未打补丁的系统执行了恶意代码。然而,大规模开采目前不太可能发生。
成千上万的Sophos防火墙服务器易受攻击
(图片来源:Ilya Parlov from Unsplash)
一位安全研究人员表示,一些运行Sophos防火墙的服务器还没有收到“热修复”。
早在2022年9月,Sophos就透露存在一个严重等级为9.8(满分10分)的漏洞。当时,该团队表示,CVE-2022-3236在那里对Sophos防火墙进行远程代码执行。
由于漏洞无处不在,该团队鼓励用户迅速修补他们的设备,以避免这些网络攻击。
然而,尽管有警告,但似乎有超过4400台服务器受到了该漏洞的影响,VulnCheck上周在其博客中写道。
该安全公司称,该事件约占受影响Sophos防火墙的6%。尽管数量不多,但如果到目前为止仍未打补丁,一些服务器可能会进一步暴露。
据VulnCheck的研究员雅各布·贝恩斯(Jacob Baines)称,尚未升级Sophos防火墙的互联网服务器比例已超过99%。
他补充说:“但是大约93%的防火墙运行的版本符合热修复的条件,防火墙的默认行为是自动下载并应用热修复(除非管理员禁用)。”
贝恩斯还表示,尽管有修补程序,但仍有超过4000个面向互联网的防火墙被认为暴露在漏洞中。
相关文章:新的黑客技术让攻击者禁万博体育登录首页用防病毒解决方案,并感染用户的设备
潜在妥协的两个指标
零日倡议写在一个咨询贝恩斯目前正在寻找潜在的解决方案,以解决未打补丁的系统的漏洞问题。
如果防火墙仍然没有打补丁,用户应该注意这两个可能导致服务器泄露的指标。
根据一份报告Ars 万博体育登录首页Technica, Baines分享说,第一个指示器位于/logs/csc.log的日志文件中,而第二个指示器位于/log/validationError.log。
通过查看登录请求可以清楚地看出漏洞已被利用。如果那里有一个_discriminator字段,很可能服务器已经被利用了,即使黑客只是试图闯入。
安全研究人员表示,这里不会发生大规模攻击,因为为了进行大规模操作,需要绕过身份验证。
这意味着一个失败的CAPTCHA肯定会诉诸于利用服务器的失败。如果黑客想要进入系统,他们需要对验证码进行编程,但这意味着另一项任务需要克服。
读也:谷歌“Grogu”跟踪设备将于2023年底上市?以下是它可能提供的服务