Sophos brengt hotfixes uit voor kritieke firewallfouten: update om exploitatie te voorkomen

Sophos heeft hotfixes uitgebracht om drie beveiligingsproblemen in Sophos Firewall-producten aan te pakken die kunnen worden misbruikt om code op afstand uit te voeren en onder bepaalde omstandigheden geprivilegieerde systeemtoegang mogelijk te maken.

Van deze drie worden er twee als kritiek beoordeeld qua ernst. Er is momenteel geen bewijs dat de tekortkomingen in het wild zijn uitgebuit. De lijst met kwetsbaarheden is als volgt:

  • CVE-2024-12727 (CVSS-score: 9,8) – Een pre-auth SQL-injectiekwetsbaarheid in de e-mailbeveiligingsfunctie die zou kunnen leiden tot uitvoering van externe code, als een specifieke configuratie van Secure PDF eXchange (SPX) is ingeschakeld in combinatie met de firewall die in High Availability draait ( HA)-modus.
  • CVE-2024-12728 (CVSS-score: 9,8) – Een kwetsbaarheid met zwakke referenties die voortkomt uit een voorgestelde en niet-willekeurige SSH-inlogwachtwoordzin voor clusterinitialisatie met hoge beschikbaarheid (HA) die actief blijft, zelfs nadat het HA-installatieproces is voltooid, waardoor een account wordt blootgesteld met bevoorrechte toegang als SSH is ingeschakeld.
  • CVE-2024-12729 (CVSS-score: 8,8) – Een post-auth code-injectiekwetsbaarheid in de gebruikersportal waardoor geverifieerde gebruikers code op afstand kunnen uitvoeren.

De beveiligingsleverancier zei dat CVE-2024-12727 ongeveer 0,05% van de apparaten treft, terwijl CVE-2024-12728 ongeveer 0,5% van hen treft. Alle drie de geïdentificeerde kwetsbaarheden zijn van invloed op Sophos Firewall versies 21.0 GA (21.0.0) en ouder. Het is hersteld in de volgende versies:

  • CVE-2024-12727 – v21 MR1 en nieuwer (hotfixes voor v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2)
  • CVE-2024-12728 – v20 MR3, v21 MR1 en nieuwer (hotfixes voor v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v20MR2)
  • CVE-2024-12729 – v21 MR1 en nieuwer (hotfixes voor v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3)

Om ervoor te zorgen dat de hotfixes zijn toegepast, wordt gebruikers aangeraden de onderstaande stappen te volgen:

  • CVE-2024-12727 – Start Apparaatbeheer > Advanced Shell vanuit de Sophos Firewall-console en voer de opdracht “cat /conf/nest_hotfix_status” uit (de hotfix wordt toegepast als de waarde 320 of hoger is)
  • CVE-2024-12728 en CVE-2024-12729 – Start Device Console vanuit de Sophos Firewall-console en voer de opdracht “system diagnostic showversion-info” uit (de hotfix wordt toegepast als de waarde HF120424.1 of hoger is)

Als tijdelijke oplossing totdat de patches kunnen worden toegepast, dringt Sophos er bij klanten op aan om SSH-toegang te beperken tot alleen de speciale HA-link die fysiek gescheiden is, en/of HA opnieuw te configureren met een voldoende lange en willekeurige aangepaste wachtwoordzin.

Een andere beveiligingsmaatregel die gebruikers kunnen nemen, is het uitschakelen van WAN-toegang via SSH en ervoor zorgen dat de gebruikersportal en Webadmin niet worden blootgesteld aan WAN.

De ontwikkeling komt iets meer dan een week nadat de Amerikaanse regering de aanklacht heeft vrijgegeven tegen een Chinees staatsburger genaamd Guan Tianfeng wegens het naar verluidt misbruiken van een zero-day beveiligingsprobleem (CVE-2020-12271, CVSS-score: 9,8) om in te breken in ongeveer 81.000 Sophos-firewalls verspreid over de hele wereld. de wereld.

Thijs Van der Does