SophosSophos برای رفع سه نقص امنیتی در محصولات Sophos Firewall که می‌تواند برای اجرای کد از راه دور مورد بهره‌برداری قرار گیرد و تحت شرایط خاص اجازه دسترسی به سیستم ممتاز را بدهد، وصله‌های فوری منتشر کرده است[۱].

از این سه، دو مورد ازنظر شدت بحرانی درجه‌بندی شده‌اند. در حال حاضر هیچ مدرکی مبنی بر استفاده از این نقص‌ها در سطح اینترنت وجود ندارد. لیست آسیب‌پذیری‌ها به شرح زیر است:

  • CVE-2024-12727 (امتیاز ۹٫۸ در CVSS) – یک آسیب‌پذیری تزریق SQL از پیش تأییدشده در ویژگی حفاظت از ایمیل که می‌تواند منجر به اجرای کد از راه دور شود، اگر یک پیکربندی خاص از Secure PDF eXchange (SPX) در ترکیب با فایروال در حال اجرا در حالت دسترسی بالا (HA) فعال باشد.
  • CVE-2024-12728 (امتیاز ۹٫۸ در CVSS) – یک آسیب‌پذیری اعتبارنامه ضعیف ناشی از عبارت عبور پیشنهادی و غیر تصادفی ورود به سیستم SSH برای مقداردهی اولیه خوشه با دسترسی بالا ([۲]HA) که حتی پس از تکمیل فرآیند ایجاد HA فعال باقی می‌ماند و درنتیجه یک حساب را با دسترسی ممتاز در صورت فعال بودن SSH فاش می‌کند.
  • CVE-2024-12729 (امتیاز ۸٫۸ در CVSS) – یک آسیب‌پذیری تزریق کد پس از تأیید در پورتال کاربر که به کاربران تأییدشده اجازه می‌دهد تا اجرای کد از راه دور را دریافت کنند.

این فروشنده امنیتی گفت آسیب‌پذیری CVE-2024-12727 حدود ۰٫۰۵ درصد از دستگاه‌ها را تحت تأثیر قرار می‌دهد، درحالی‌که CVE-2024-12728 تقریباً ۰٫۵ درصد از آن‌ها را تحت تأثیر قرار می‌دهد. هر سه آسیب‌پذیری شناسایی‌شده که روی فایروال Sophos نسخه ۲۱٫۰ GA (21.0.0) و قدیمی‌تر تأثیر می‌گذارند، در نسخه‌های زیر اصلاح شده است:

  • CVE-2024-12727 – نسخه ۲۱ MR1 و جدیدتر (وصله‌های فوری برای نسخه ۲۱ GA، v20 GA، v20 MR1، v20 MR2، v20 MR3، ۵ MR3، v19.5 MR4، v19.0 MR2)
  • CVE-2024-12728 – v20 MR3، v21 MR1 و جدیدتر (Hotfixes برای v21 GA، v20 GA، v20 MR1، ۵ GA، v19.5 MR1، v19.5 MR2، v19.5 MR3، v19.5 v19.0 MR2، v20 MR2)
  • CVE-2024-12729 – v21 MR1 و جدیدتر (وصله فوری برای v21 GA، v20 GA، v20 MR1، v20 MR2، ۵ GA، v19.5 MR1، v19.5 MR2، v19.5 MR3، v19.5 v19.0 MR2، v19.0 MR3)

برای اطمینان از اینکه وصله‌های فوری اعمال شده‌اند، به کاربران توصیه می‌شود[۳] مراحل زیر را دنبال کنند:

  • CVE-2024-12727 – Device Management > Advanced Shell را از کنسول Sophos Firewall راه‌اندازی کنید و دستور “cat /conf/nest_hotfix_status” را اجرا کنید (اگر مقدار ۳۲۰ یا بالاتر باشد، Hotfix اعمال می‌شود.)
  • CVE-2024-12728 و CVE-2024-12729 – کنسول دستگاه را از کنسول Sophos Firewall راه‌اندازی کنید و دستور “System diagnostic show version-info” را اجرا کنید (اگر مقدار ۱ یا بالاتر باشد، رفع فوری اعمال می‌شود.)

به‌عنوان راه‌حل‌های موقت تا زمانی که وصله‌ها اعمال شوند، Sophos از مشتریان می‌خواهد دسترسی SSH را فقط به پیوند اختصاصی HA که ازنظر فیزیکی جدا است محدود کنند و/یا HA را با استفاده از یک عبارت عبور سفارشی به‌اندازه کافی طولانی و تصادفی پیکربندی مجدد کنند.

یکی دیگر از اقدامات امنیتی که کاربران می‌توانند انجام دهند، غیرفعال کردن دسترسی WAN از طریق SSH و همچنین اطمینان از اینکه پورتال کاربر و وب ادمین در معرض WAN قرار نمی‌گیرند است.

این توسعه کمی بیش از یک هفته پس‌ازآن صورت می‌گیرد که دولت ایالات‌متحده اتهاماتی[۴] را علیه یک شهروند چینی به نام Guan Tianfeng به اتهام بهره‌برداری از یک آسیب‌پذیری امنیتی روز صفر (CVE-2020-12271، امتیاز ۹٫۸ در CVSS) برای شکستن حدود ۸۱۰۰۰ فایروال Sophos در سراسر جهان انجام داد.

  منابع

[۱] https://www.sophos.com/en-us/security-advisories/sophos-sa-20241219-sfos-rce

[۲] https://docs.sophos.com/nsg/sophos-firewall/21.0/help/en-us/webhelp/onlinehelp/HighAvailablityStartupGuide/AboutHA/HAModesRoles/index.html

[۳] https://support.sophos.com/support/s/article/KBA-000010084?language=en_US

[۴] https://thehackernews.com/2024/12/us-charges-chinese-hacker-for.html

[۵] https://thehackernews.com/2024/12/sophos-fixes-3-critical-firewall-flaws.html