Sophos tiene revisiones publicadas para abordar tres fallas de seguridad en los productos Sophos Firewall que podrían explotarse para lograr la ejecución remota de código y permitir el acceso privilegiado al sistema bajo ciertas condiciones.
De los tres, dos están clasificados como críticos en cuanto a gravedad. Actualmente no hay evidencia de que las deficiencias hayan sido explotadas en la naturaleza. La lista de vulnerabilidades es la siguiente:
- CVE-2024-12727 (Puntuación CVSS: 9,8): una vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico que podría conducir a la ejecución remota de código, si se habilita una configuración específica de Secure PDF eXchange (SPX) en combinación con el firewall que se ejecuta en alta disponibilidad (JA) modo.
- CVE-2024-12728 (Puntuación CVSS: 9,8): una vulnerabilidad de credenciales débiles que surge de una frase de contraseña de inicio de sesión SSH sugerida y no aleatoria para la inicialización del clúster de alta disponibilidad (HA) que permanece activa incluso después de que se completa el proceso de establecimiento de HA, exponiendo así una cuenta con acceso privilegiado si SSH está habilitado.
- CVE-2024-12729 (Puntuación CVSS: 8,8): una vulnerabilidad de inyección de código posterior a la autenticación en el Portal de usuario que permite a los usuarios autenticados obtener la ejecución remota de código.
El proveedor de seguridad dijo que CVE-2024-12727 afecta aproximadamente al 0,05 % de los dispositivos, mientras que CVE-2024-12728 afecta aproximadamente al 0,5 % de ellos. Las tres vulnerabilidades identificadas afectan a las versiones 21.0 GA (21.0.0) y anteriores de Sophos Firewall. Se ha solucionado en las siguientes versiones:
- CVE-2024-12727 – v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2)
- CVE-2024-12728 – v20 MR3, v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v20 MR2)
- CVE-2024-12729 – v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3)
Para garantizar que se hayan aplicado las revisiones, los usuarios están siendo recomendado para seguir los pasos que se mencionan a continuación:
- CVE-2024-12727 – Inicie Gestión de dispositivos > Shell avanzado desde la consola de Sophos Firewall y ejecute el comando “cat /conf/nest_hotfix_status” (la revisión se aplica si el valor es 320 o superior)
- CVE-2024-12728 y CVE-2024-12729 – Inicie la consola del dispositivo desde la consola de Sophos Firewall y ejecute el comando “system diagnostic show version-info” (la revisión se aplica si el valor es HF120424.1 o posterior)
Como solución temporal hasta que se puedan aplicar los parches, Sophos insta a los clientes a restringir el acceso SSH solo al enlace HA dedicado que está físicamente separado y/o reconfigurar HA usando una frase de contraseña personalizada aleatoria y suficientemente larga.
Otra medida de seguridad que los usuarios pueden tomar es deshabilitar el acceso a WAN a través de SSH, así como garantizar que el Portal de usuario y Webadmin no estén expuestos a la WAN.
El acontecimiento se produce poco más de una semana después de que el gobierno de EE. UU. revelara cargos contra un ciudadano chino llamado Guan Tianfeng por supuestamente explotar una vulnerabilidad de seguridad de día cero (CVE-2020-12271, puntuación CVSS: 9,8) para acceder a unos 81.000 firewalls de Sophos en todo el mundo. el mundo.
About the Author
