Sophos ha valiente revisiones para chocar tres fallas de seguridad en los productos Sophos Firewall que podrían explotarse para ganar la ejecución remota de código y permitir el golpe privilegiado al sistema bajo ciertas condiciones.
De los tres, dos están clasificados como críticos en cuanto a dificultad. Actualmente no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza. La repertorio de vulnerabilidades es la subsiguiente:
- CVE-2024-12727 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico que podría conducir a la ejecución remota de código, si se habilita una configuración específica de Secure PDF eXchange (SPX) en combinación con el firewall que se ejecuta en entrada disponibilidad ( HA) modo.
- CVE-2024-12728 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales débiles que surge de una frase de contraseña de inicio de sesión SSH sugerida y no aleatoria para la inicialización del clúster de entrada disponibilidad (HA) que permanece activa incluso a posteriori de que se completa el proceso de establecimiento de HA, exponiendo así una cuenta con golpe privilegiado si SSH está autorizado.
- CVE-2024-12729 (Puntuación CVSS: 8,8): una vulnerabilidad de inyección de código posterior a la autenticación en el Portal de heredero que permite a los usuarios autenticados obtener la ejecución remota de código.
El proveedor de seguridad dijo que CVE-2024-12727 afecta aproximadamente al 0,05 % de los dispositivos, mientras que CVE-2024-12728 afecta aproximadamente al 0,5 % de ellos. Las tres vulnerabilidades identificadas afectan a las versiones 21.0 GA (21.0.0) y anteriores de Sophos Firewall. Se ha solucionado en las siguientes versiones:
- CVE-2024-12727 – v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2)
- CVE-2024-12728 – v20 MR3, v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v20 MR2)
- CVE-2024-12729 – v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3)
Para respaldar que se hayan constante las revisiones, se recomienda a los usuarios que sigan los pasos que se mencionan a continuación:
- CVE-2024-12727 – Inicie Gobierno de dispositivos > Shell progresista desde la consola de Sophos Firewall y ejecute el comando «cat /conf/nest_hotfix_status» (la revisión se aplica si el valía es 320 o superior)
- CVE-2024-12728 y CVE-2024-12729 – Inicie la consola del dispositivo desde la consola de Sophos Firewall y ejecute el comando «system diagnostic show version-info» (la revisión se aplica si el valía es HF120424.1 o posterior)
Como alternativa temporal hasta que se puedan aplicar los parches, Sophos insta a los clientes a restringir el golpe SSH solo al enlace HA dedicado que está físicamente separado y/o reconfigurar HA usando una frase de contraseña personalizada aleatoria y suficientemente larga.
Otra medida de seguridad que los usuarios pueden tomar es deshabilitar el golpe a WAN a través de SSH, así como respaldar que el Portal de heredero y Webadmin no estén expuestos a la WAN.
El acontecimiento se produce poco más de una semana a posteriori de que el gobierno de EE. UU. revelara cargos contra un ciudadano chino llamado Guan Tianfeng por supuestamente explotar una vulnerabilidad de seguridad de día cero (CVE-2020-12271, puntuación CVSS: 9,8) para conseguir a unos 81.000 firewalls de Sophos en todo el mundo. el mundo.