Sophos Web Appliance vulnerability exploited in the wild (CVE-2023-1671)
2023/11/20 HelpNetSecurity — CISA は、Known Exploited Vulnerabilities カタログに3件の脆弱性を追加した。そのうちの1件は、2023年4月にパッチが適用された Sophos Web Appliance の深刻な脆弱性 CVE-2023-1671 である。この脆弱性 CVE-2023-1671 は、Sophos Web Appliance の warn-proceed ハンドラに存在する事前認証コマンド・インジェクションの脆弱性であり、攻撃者に任意のコード実行をゆるす可能性がある。Sophos Web Appliance は、Web プロキシとして機能する Web ゲートウェイ・アプライアンスであり、潜在的に有害なコンテンツをスキャンし、多種多様なマルウェアを検出するためのものだ。
CVE-2023-1671 について
脆弱性 CVE-2023-1671 は、4月上旬に Sophos のバグ・バウンティ・プログラムを通じて、外部のセキュリティ研究者により公開されたものだ。この脆弱性は、Sophos Web Appliance 4.3.10.4 未満に影響を及ぼす。
当時の Sophos は、”automatic update” 設定 (デフォルトで有効になっている) を無効化していない全ての Sophos Web Appliance ユーザーに対して、修正プログラムを含むアップデートを配布した。 また、Sophos は、デバイスをファイアウォール内に置き、パブリックなインターネットからのアクセスを遮断するよう推奨した。
さらに同社は、Sophos Web Appliance のサポートを 2023年7月20日に終了し、セキュリティ・アップデートやソフトウェア・アップデートの提供を停止するとしており、Sophos Firewall の使用に切り替えるよう呼びかけている。
CVE-2023-1671 の悪用
脆弱性 CVE-2023-1671 に対する、パブリックな PoC エクスプロイトは4月下旬から利用可能となっており、ネットワーク上の脆弱なデバイスをスキャンするためのスクリプトも公開されている。
それでも、この脆弱性を攻撃者たちが悪用を試みるまでには、何カ月もかかったようだ。おそらく、デフォルトの自動アップデートの設定が、潜在的な標的をかなり減らしていたからだろう。
その一方で、Cybersecurity and Infrastructure Agency が、積極的に悪用されている証拠を掴んだとしているが、現時点では詳細な情報は提供していない。
攻撃者はしばしば古い脆弱性を悪用する
組織における脆弱性へのパッチ適用が不十分であるため、攻撃者は、いまだに定期的に古い脆弱性を悪用した攻撃を行っている。
実際に、11月16日に CISA が KEV カタログに追加した3つの脆弱性のうちの1つは、Oracle Fusion Middleware の Oracle WebLogic Server 製品に存在する脆弱性 CVE-2020-2551 である。
Sophos Web Appliance の脆弱性 CVE-2023-1671 ですが、第一報は 2023/04/10 の「Sophos Web Security アプライアンスの3つの脆弱性が FIX:Ver 4.3.10.4 へアップデート」であり、CISA KEV への当特に関しては、2023/11/17 の「CISA KEV 警告 23/11/17:Windows/Sophos/Oracle の3件の深刻な脆弱性を追加」でお伝えしています。パッチが適用されてから、半年も放置されてきた Sophos Web Appliance が、攻撃の対象になっています。ご利用のチームは、ご確認ください。
IoT OT Security News 
You must be logged in to post a comment.