Sophos y Sonicwall han alertado a los usuarios de fallas de seguridad críticas en el firewall Sophos y los electrodomésticos de la serie 100 series de comunicación móvil (SMA) que podrían explotarse para alcanzar la ejecución de código remoto.
Las dos vulnerabilidades que afectan el firewall de Sophos se enumeran a continuación –
- CVE-2025-6704 (Puntuación CVSS: 9.8) – Una vulnerabilidad arbitraria de escritura de archivos en la función Secure PDF Exchange (SPX) puede conducir a la ejecución del código remoto previo a la autor, si una configuración específica de SPX está habilitada en combinación con el firewall que se ejecuta en ingreso disponibilidad (HA) Mode (HA) Mode Mode
- CVE-2025-7624 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de SQL en el proxy SMTP herencia (transparente) puede conducir a la ejecución de código remoto, si una política de cuarentena está activa para el correo electrónico y SFOS se actualizó desde una lectura preliminar a 21.0 GA GA
Sophos dijo que CVE-2025-6704 afecta a aproximadamente el 0.05% de los dispositivos, mientras que CVE-2025-7624 impacta hasta el 0.73% de los dispositivos. Ambas vulnerabilidades se han abordado pegado con una vulnerabilidad de inyección de comandos de ingreso severidad en el componente WebAdmin (CVE-2025-7382, puntaje CVSS: 8.8) que podría dar oficio a la ejecución del código previo a la autora en los dispositivos auxiliares de ingreso disponibilidad (HA), si la autenticación OTP para el afortunado administrador está recaudado.
Todavía parcheados por la compañía hay otras dos vulnerabilidades –
- CVE-2024-13974 (Puntuación CVSS: 8.1): una vulnerabilidad de la método comercial en el componente UP2Date puede sobrellevar a los atacantes que controlan el entorno DNS del firewall para alcanzar la ejecución del código remoto
- CVE-2024-13973 (Puntuación CVSS: 6.8) – Una vulnerabilidad de inyección SQL posterior a la autor en WebAdmin potencialmente puede sobrellevar a los administradores a alcanzar la ejecución del código parcial
El Centro Franquista de Seguridad Cibernética del Reino Unido (NCSC) ha sido acreditado por descubrir e informar tanto CVE-2024-13974 como CVE-2024-13973. Los problemas afectan las siguientes versiones –
- CVE-2024-13974-Afecta a Sophos Firewall V21.0 GA (21.0.0) y más antiguo
- CVE-2024-13973-Afecta a Sophos Firewall V21.0 GA (21.0.0) y más antiguo
- CVE-2025-6704-Afecta a Sophos Firewall V21.5 Ga (21.5.0) y más antiguo
- CVE-2025-7624-Afecta a Sophos Firewall V21.5 GA (21.5.0) y más antiguo
- CVE-2025-7382-Afecta a Sophos Firewall V21.5 Ga (21.5.0) y más antiguo
La divulgación se produce cuando SonicWall detalló un error crítico en la interfaz SMA 100 Series Web Management (CVE-2025-40599, CVSS Score: 9.1) que un atacante remoto con privilegios administrativos puede explotar para cargar archivos arbitrarios y potencialmente alcanzar una ejecución del código remoto.
El defecto impacta los productos de la serie SMA 100 (SMA 210, 410, 500V) y se ha abordado en la lectura 10.2.2.1-90SV.
SonicWall incluso señaló que, si admisiblemente la vulnerabilidad no ha sido explotada, existe un aventura potencial a la luz de un referencia nuevo del Rama de Inteligencia de Amenazos de Google (GTIG), que encontró evidencia de un actor de amena TRASPASAR.
Por otra parte de aplicar las correcciones, la compañía incluso recomienda que los clientes de los dispositivos de la serie SMA 100 realicen los siguientes pasos:
- Deshabilitar el comunicación a la sucursal remota en la interfaz de orientación externa (X1) para sujetar la superficie de ataque
- Restablecer todas las contraseñas y reinicializar OTP (contraseña única) vinculante para usuarios y administradores en el dispositivo
- Hacer cumplir la autenticación multifactor (MFA) para todos los usuarios
- Habilitar el firewall de aplicaciones web (WAF) en SMA 100
Todavía se recomienda a las organizaciones que usan dispositivos SMA 100 Series que revisen los registros de electrodomésticos e historial de conexión para anomalías y verifiquen cualquier signo de comunicación no facultado.
Se requieren organizaciones que usen el producto imaginario SMA 500V para hacer una copia de seguridad del archivo de OVA, exportar la configuración, eliminar la máquina imaginario existente y todos los discos y instantáneas virtuales asociadas, reinstale el nuevo OVA de Sonicwall usando un hipervisor y restaura la configuración.