Sophos a abordat trei vulnerabilități în produsul său Sophos Firewall care ar putea permite actorilor de amenințări remote neautentificați să efectueze injectare de SQL, execuție de cod la distanță și să obțină acces SSH privilegiat la dispozitive.
Vulnerabilitățile afectează versiunea Sophos Firewall 21.0 GA (21.0.0) și mai vechi, iar compania a lansat deja hotfixuri care sunt instalate implicit și soluții permanente prin actualizări noi de firmware.
Cele trei defecte sunt rezumate astfel:
Compania spune că CVE-2024-12727 afectează aproximativ 0,05% din dispozitivele de firewall cu configurația specifică necesară pentru exploatare. În ceea ce privește CVE-2024-12728, vendorul spune că afectează aproximativ 0,5% din dispozitive.
Hotfixuri și soluții complete au fost făcute disponibile prin diverse versiuni și date, după cum urmează:
Hotfixuri pentru CVE-2024-12727 sunt disponibile începând cu 17 decembrie pentru versiunile 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2, în timp ce o soluție permanentă a fost introdusă în v21 MR1 și mai noi.
Hotfixuri pentru CVE-2024-12728 au fost lansate între 26 și 27 noiembrie pentru v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 și v20 MR2, în timp ce soluțiile permanente sunt incluse în v20 MR3, v21 MR1 și mai noi.
Pentru CVE-2024-12729, hotfixuri au fost lansate între 4 și 10 decembrie pentru versiunile v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3 și v20 MR3, iar o soluție permanentă este disponibilă în v21 MR1 și mai târziu.
Hotfixurile Sophos Firewall sunt instalate implicit, dar puteți găsi instrucțiuni despre cum să le aplicați și să validați că au fost instalate cu succes referindu-vă la KBA-000010084.
Sophos a propus, de asemenea, soluții alternative pentru reducerea riscurilor asociate cu CVE-2024-12728 și CVE-2024-12729 pentru cei care nu pot aplica hotfixul sau actualizarea.
Pentru a reduce riscul CVE-2024-12728, se recomandă limitarea accesului SSH doar la linkul HA dedicat care este separat fizic de alte traficuri de rețea și reconfigurarea setării HA folosind o frază secretă personalizată suficient de lungă și aleatoare.
Pentru managementul și accesul la distanță, este recomandată în general dezactivarea SSH peste interfața WAN și utilizarea Sophos Central sau a unei VPN-uri.
Pentru a reduce riscul CVE-2024-12729, este recomandat ca administratorii să se asigure că interfețele Portalului Utilizatorului și Webadmin nu sunt expuse pe WAN.
Actualizare 20/12/24: Articolul actualizat pentru a explica că hotfixurile sunt instalate implicit.
Leave a Reply