Sophos wydało aktualizacje zabezpieczeń, które eliminują trzy poważne luki w produktach Sophos Firewall. W niektórych przypadkach mogą one umożliwić zdalne wykonanie kodu i uzyskanie przywilejów do zarządzania systemem. Dwie z tych luk mają status „krytycznych”, choć jak dotąd nie potwierdzono ich wykorzystywania w realnych atakach.
Lista luk obejmuje:
- blank”>CVE-2024-12727 (CVSS: 9.8) – Luka SQL Injection przed uwierzytelnieniem w funkcji ochrony poczty e-mail, która może prowadzić do zdalnego wykonania kodu, jeśli włączona jest konkretna konfiguracja Secure PDF eXchange (SPX) i firewall działa w trybie wysokiej dostępności (blank”>HA).
- CVE-2024-12728 (CVSS: 9.8) – Luka dotycząca słabych danych logowania w SSH w procesie inicjalizacji klastra HA, która pozostawia aktywne konto dostępu uprzywilejowanego, jeśli protokół SSH jest włączony.
- CVE-2024-12729 (CVSS: 8.8) – Luka wstrzyknięcia kodu za pośrednictwem portalu użytkownika, która umożliwia użytkownikom uwierzytelnionym wykonanie kodu zdalnie.
Sophos ujawniło, że CVE-2024-12727 dotyczy 0,05% urządzeń, a CVE-2024-12728 obejmuje około 0,5% urządzeń. Wszystkie wskazane luki dotykają wersji Sophos Firewall 21.0 GA (21.0.0) i starszych. Producent udostępnił jednak poprawki w nowszych wersjach:
- CVE-2024-12727 – v21 MR1 i nowsze (oraz hotfixy dla starszych wersji, takich jak v19, v20).
- CVE-2024-12728 – v20 MR3, v21 MR1 i nowsze (oraz łatki do wcześniejszych wersji, takich jak v19.5 GA).
- CVE-2024-12729 – v21 MR1 i nowsze (poprawki dla wcześniejszych wersji, w tym v19 i v20).
W celu upewnienia się, że poprawki zostały zastosowane, użytkownik może ręcznie sprawdzić wersję oprogramowania lub status aktualizacji. W tym celu Sophos rekomenduje użycie konsoli firewall w następujący sposób:
- CVE-2024-12727 – Uruchomić Advanced Shell w konsoli Sophos Firewall i wykonać polecenie:
cat /conf/nesthotfixstatus(wartość 320 lub wyższa oznacza zastosowanie poprawki). - CVE-2024-12728 oraz CVE-2024-12729 – Uruchomić Device Console i wykonać polecenie:
system diagnostic show version-info(hotfix to HF120424.1 lub nowsza wersja).
Do czasu zastosowania odpowiednich aktualizacji, Sophos sugeruje wdrożenie tymczasowych środków bezpieczeństwa. Zaleca się ograniczenie dostępu SSH wyłącznie do dedykowanych kanałów HA, które są fizycznie oddzielone. Warto również skonfigurować HA z użyciem losowego, długiego hasła. Kolejnym sugerowanym krokiem jest wyłączenie dostępu SSH przez WAN oraz upewnienie się, że portale User Portal oraz Webadmin nie są wystawione na Internet.
Problem nabiera dodatkowego znaczenia w świetle niedawnych wydarzeń. Jak ujawniono, w zeszłym tygodniu rząd USA postawił zarzuty obywatelowi Chin w związku z wykorzystaniem luki zero-day (CVE-2020-12271, CVSS: 9.8) do włamań na około 81 000 urządzeń z serii Sophos Firewall na całym świecie. Sytuacja pokazuje, jak ważne jest nie tylko bieżące aktualizowanie zabezpieczeń, ale także proaktywne zarządzanie ryzykiem w zakresie bezpieczeństwa cyfrowego.
Dla użytkowników Sophos Firewall kluczowe jest podjęcie natychmiastowych działań w celu ochrony swoich urządzeń przed możliwymi atakami. Regularne aktualizacje, ograniczenie dostępu do sieci oraz stosowanie mocnych danych uwierzytelniających to kroki, które skutecznie zwiększą poziom bezpieczeństwa infrastruktury IT.
