Underc0de

Sophos ha lanzado actualizaciones críticas para resolver tres vulnerabilidades de seguridad detectadas en sus productos Sophos Firewall. Estas fallas podrían permitir la ejecución remota de código y el acceso privilegiado al sistema en condiciones específicas. De las tres vulnerabilidades identificadas, dos se califican como críticas y actualmente no hay evidencia de que hayan sido explotadas de manera activa.

Vulnerabilidades detectadas:

CVE-2024-12727 (CVSS: 9.8 ):

Descripción: Vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico.

Impacto: Ejecución remota de código cuando se habilita una configuración específica de Secure PDF eXchange (SPX) junto con el firewall en modo de alta disponibilidad (HA).

CVE-2024-12728 (CVSS: 9.8 ):

Descripción: Vulnerabilidad de credenciales débiles derivada de una frase de contraseña no aleatoria sugerida para el inicio de sesión SSH durante la configuración del clúster HA. Esta frase permanece activa tras completar el proceso de configuración.

Impacto: Acceso privilegiado si SSH está habilitado.

CVE-2024-12729 (CVSS: 8.8 ):

Descripción: Inyección de código posterior a la autenticación en el portal de usuario.

Impacto: Ejecución remota de código para usuarios autenticados.

Impacto y versiones afectadas:

• CVE-2024-12727 afecta al 0,05% de los dispositivos.
• CVE-2024-12728 afecta al 0,5% de los dispositivos.

Las vulnerabilidades afectan a Sophos Firewall en versiones 21.0 GA (21.0.0) y anteriores. Las correcciones se han implementado en las siguientes versiones:

• CVE-2024-12727: v21 MR1 y posteriores (revisiones disponibles para versiones v21 GA, v20 GA, v20 MR1, entre otras).
• CVE-2024-12728: v20 MR3, v21 MR1 y posteriores (revisiones disponibles para varias versiones anteriores).
• CVE-2024-12729: v21 MR1 y posteriores (revisiones para v21 GA, v20 GA, y otras).

Verificación de parches aplicados:

CVE-2024-12727:

Ingrese a la consola avanzada desde Sophos Firewall.

Ejecute: cat /conf/nest_hotfix_status.

Revisión aplicada si el valor es 320 o superior.

CVE-2024-12728 y CVE-2024-12729:

Inicie la consola del dispositivo.

Ejecute: system diagnostic show version-info.

Revisión aplicada si el valor es HF120424.1 o posterior.

Medidas de mitigación temporales:

Mientras se aplican los parches, Sophos recomienda:

• Restringir el acceso SSH al enlace HA dedicado físicamente separado.
• Configurar HA con una frase de contraseña personalizada y segura.
• Deshabilitar el acceso SSH desde la WAN.
• Evitar exponer el portal de usuario y el administrador web a la WAN.

Contexto adicional:

Este anuncio llega poco después de que el gobierno de EE. UU. acusara a un ciudadano chino de explotar una vulnerabilidad de día cero (CVE-2020-12271, CVSS: 9.8) en Sophos Firewall, afectando a más de 81,000 dispositivos en todo el mundo. Este incidente subraya la importancia de mantener los sistemas actualizados y protegidos contra amenazas emergentes.

Fuente: https://thehackernews.com