Компания Sophos выпустила экстренное обновление безопасности для своего межсетевого экрана Sophos Firewall, устраняющее три критические уязвимости с максимальным рейтингом опасности 9,8 по шкале CVSS. Обнаруженные проблемы безопасности позволяют злоумышленникам осуществлять несанкционированный доступ к системам и выполнять вредоносный код без необходимости аутентификации.
Детальный анализ уязвимостей
Наиболее серьезной является уязвимость CVE-2024-12727, связанная с компонентом email-защиты. При определенной конфигурации Secure PDF eXchange (SPX) в сочетании с режимом High Availability (HA) злоумышленник может провести SQL-инъекцию и получить доступ к базе данных отчетов. По данным Sophos, данная уязвимость затрагивает около 0,05% устройств со специфическими настройками.
Проблемы SSH-доступа и выполнения кода
Вторая критическая уязвимость CVE-2024-12728 связана с предсказуемыми учетными данными SSH при инициализации кластера HA. Неслучайная парольная фраза остается активной даже после завершения процесса настройки, что создает риск несанкционированного доступа для примерно 0,5% устройств с включенным SSH.
Третья уязвимость CVE-2024-12729 позволяет аутентифицированному пользователю выполнить произвольный код через User Portal посредством инъекции кода. Это может привести к повышению привилегий и дальнейшему развитию атаки внутри сети.
Рекомендации по защите
Все уязвимости затрагивают Sophos Firewall версии 21.0 GA (21.0.0) и более ранние версии. Для защиты систем специалисты рекомендуют незамедлительно установить доступные хотфиксы, которые устанавливаются автоматически при включенном автообновлении. Администраторам систем также следует проверить текущие конфигурации на предмет использования потенциально опасных настроек SPX и HA.
Учитывая критический характер уязвимостей и их потенциальное влияние на безопасность корпоративных сетей, рекомендуется провести аудит систем безопасности и убедиться в применении всех необходимых обновлений. Организациям также следует рассмотреть возможность внедрения дополнительных мер защиты, включая мониторинг сетевой активности и регулярные проверки конфигураций безопасности.
