Hace exactamente un año los equipos de seguridad de Sophos reportaron la corrección de CVE-2020-25223, una vulnerabilidad de ejecución remota de código (RCE) en la consola de administración web de los dispositivos SG UTM.
El problema surgió de nuevo, ya que al parecer no todos los clientes de Sophos han actualizado sus dispositivos. Así lo informa Justin Kennedy, director de consultoría de investigación en la firma Atredis Partners, quien notó que los dispositivos UTM de uno de sus clientes estaban ejecutando una versión vulnerable de este software.
El investigador comparó las diferencias entre las versiones corregidas y no corregidas del software, lo que le permitió identificar la causa principal de esta vulnerabilidad. En su blog, Kennedy describió cómo un atacante remoto no autenticado puede explotar CVE-2020-25223 para ejecutar código arbitrario con privilegios root en dispositivos Sophos.
Después de recibir el reporte, la compañía emitió un comunicado afirmando que no tienen conocimiento de ningún intento de explotación relacionado esta vulnerabilidad. No obstante, el investigador asegura que sería “increíblemente fácil que un hacker explote la vulnerabilidad en un entorno real”.
La explotación requiere que el hacker envíe una única solicitud HTTP especialmente diseñada. Si la interfaz está expuesta en la red, es posible que pueda ser explotada directamente desde Internet. Kennedy asegura que el motor de búsqueda Shodan identificó más de 3 mil sistemas potencialmente vulnerables.
Al respecto, el experto menciona que lo más recomendable es que las organizaciones verifiquen si aún están afectadas por esta vulnerabilidad y, si lo están, aplicar las actualizaciones en sus sistemas y luego revisar las políticas de parcheo con el fin de hacer este proceso más eficiente.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de soluciones de ciberseguridad, Alisa se enfoca en la protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad dentro de una variedad de empresas de seguridad cibernética. También tiene experiencia en diferentes industrias como finanzas, salud médica y reconocimiento facial.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad
