Компанія Sophos оприлюднила інформацію про виявлення трьох критичних вразливостей у своєму міжмережевому екрані Sophos Firewall. Усі виявлені проблеми отримали максимальну оцінку небезпеки 9,8 за шкалою CVSS, що свідчить про надзвичайно високий рівень загрози для корпоративних мереж та інфраструктури. Офіційні рекомендації Sophos доступні на сторінці Sophos Security Advisories.
Аналіз виявлених вразливостей та їх потенційний вплив
Найбільш критична вразливість CVE-2024-12727 пов’язана з компонентом захисту електронної пошти. При використанні технології Secure PDF eXchange (SPX) разом з режимом High Availability (HA) зловмисники можуть здійснити SQL-ін’єкцію та отримати несанкціонований доступ до бази даних звітів. За даними досліджень, ця вразливість впливає приблизно на 0,05% пристроїв із специфічною конфігурацією.
Проблеми SSH-автентифікації та виконання довільного коду
Друга критична вразливість CVE-2024-12728 створює ризик несанкціонованого доступу через передбачувані SSH-облікові дані під час ініціалізації HA-кластера. Нестандартна парольна фраза залишається активною навіть після завершення налаштування, що потенційно загрожує близько 0,5% пристроїв з активованим SSH-доступом.
Третя вразливість CVE-2024-12729 дозволяє авторизованому користувачеві виконати довільний код через користувацький портал шляхом ін’єкції коду. Це може призвести до підвищення привілеїв та подальшого розвитку атаки всередині захищеної мережі.
Хто знаходиться під загрозою
Під найбільшим ризиком перебувають організації, що використовують Sophos Firewall із увімкненими функціями SPX та High Availability, а також ті, що мають відкритий SSH-доступ до пристроїв із зовнішньої мережі. Особливо вразливими є малі та середні підприємства, де оновлення прошивки виконується нерегулярно. Усі організації, що не встановили патч після 19 грудня 2024 року, повинні вважати свою систему потенційно скомпрометованою до завершення аудиту.
Рекомендації щодо мінімізації ризиків
- Негайно встановіть доступні оновлення безпеки Sophos Firewall — патч доступний через панель управління у розділі Backup & Firmware.
- Перевірте, чи використовується режим SPX разом із HA; якщо так — вимкніть SPX до встановлення патча (CVE-2024-12727).
- Змініть SSH-парольну фразу після завершення налаштування HA-кластера або тимчасово відключіть SSH-доступ (CVE-2024-12728).
- Обмежте доступ до користувацького порталу лише з довірених IP-адрес засобами ACL (CVE-2024-12729).
- Активуйте автоматичне оновлення прошивки для своєчасного отримання майбутніх патчів безпеки.
