Sophosشرکت‌های Sophos و SonicWall به کاربران در مورد نقص‌های امنیتی بحرانی در دستگاه‌های Sophos Firewall و Secure Mobile Access (SMA) سری ۱۰۰ هشدار داده‌اند که می‌توانند برای اجرای کد از راه دور مورد سوءاستفاده قرار گیرند.

دو آسیب‌پذیری که فایروال Sophos را تحت تأثیر قرار می‌دهند[۱] در زیر فهرست شده‌اند:

  • CVE-2025-6704 (امتیاز ۹٫۸ در CVSS) – یک آسیب‌پذیری نوشتن فایل دلخواه در ویژگی Secure PDF eXchange (SPX) می‌تواند منجر به اجرای کد از راه دور قبل از احراز هویت شود، اگر پیکربندی خاصی از SPX در ترکیب با فایروال در حال اجرا در حالت دسترسی بالا (HA) فعال باشد.
  • CVE-2025-7624 (امتیاز ۹٫۸ در CVSS) – یک آسیب‌پذیری تزریق SQL در پروکسی SMTP قدیمی (شفاف) می‌تواند منجر به اجرای کد از راه دور شود، اگر یک سیاست قرنطینه برای ایمیل فعال باشد و SFOS از نسخه قدیمی‌تر از ۲۱٫۰ GA ارتقا یافته باشد.

Sophos اعلام کرد که CVE-2025-6704 حدود ۰٫۰۵ درصد از دستگاه‌ها را تحت تأثیر قرار می‌دهد، درحالی‌که CVE-2025-7624 تا ۰٫۷۳ درصد از دستگاه‌ها را تحت تأثیر قرار می‌دهد. هر دو آسیب‌پذیری در کنار یک آسیب‌پذیری تزریق دستور با شدت بالا در مؤلفه WebAdmin (CVE-2025-7382، امتیاز ۸٫۸ در CVSS) برطرف شده‌اند که می‌تواند منجر به اجرای کد پیش از احراز هویت در دستگاه‌های کمکی باقابلیت دسترسی بالا (HA) شود، درصورتی‌که احراز هویت OTP برای کاربر مدیر فعال باشد.

همچنین توسط این شرکت دو آسیب‌پذیری دیگر نیز وصله شده‌اند:

  • CVE-2024-13974 (امتیاز ۸٫۱ در CVSS) – یک آسیب‌پذیری منطق کسب‌وکار در مؤلفه Up2Date می‌تواند منجر به کنترل محیط DNS فایروال توسط مهاجمان برای دستیابی به اجرای کد از راه دور شود.
  • CVE-2024-13973 (امتیاز ۶٫۸ در CVSS) – یک آسیب‌پذیری تزریق SQL پس از احراز هویت در WebAdmin می‌تواند به‌طور بالقوه منجر به دستیابی مدیران به اجرای کد دلخواه شود.

مرکز ملی امنیت سایبری بریتانیا (NCSC) به دلیل کشف و گزارش هر دو CVE-2024-13974 و CVE-2024-13973 موردتقدیر قرار گرفته است. این مشکلات نسخه‌های زیر را تحت تأثیر قرار می‌دهند:

  • CVE-2024-13974 – Sophos Firewall v21.0 GA (21.0.0) و قدیمی‌تر را تحت تأثیر قرار می‌دهد.
  • CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) و قدیمی‌تر را تحت تأثیر قرار می‌دهد.
  • CVE-2025-6704 – Sophos Firewall v21.5 GA (21.5.0) و قدیمی‌تر را تحت تأثیر قرار می‌دهد.
  • CVE-2025-7624 – Sophos Firewall v21.5 GA (21.5.0) و قدیمی‌تر را تحت تأثیر قرار می‌دهد.
  • CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) و قدیمی‌تر را تحت تأثیر قرار می‌دهد.

این افشاگری در حالی صورت می‌گیرد که SonicWall یک اشکال بحرانی (CVE-2025-40599، امتیاز ۹٫۱ در CVSS) در رابط مدیریت وب سریSMA 100  را شرح داده است[۲] که یک مهاجم از راه دور با امتیازات مدیریتی می‌تواند از آن برای آپلود فایل‌های دلخواه و اجرای کد از راه دور بهره‌برداری کند.

این نقص محصولات سری SMA 100 یعنی SMA 210، ۴۱۰ و ۵۰۰v را تحت تأثیر قرار می‌دهد و در نسخه ۱۰٫۲٫۲٫۱-۹۰sv برطرف شده است.

SonicWall همچنین خاطرنشان کرد که اگرچه این آسیب‌پذیری مورد بهره‌برداری قرار نگرفته است، اما با توجه به گزارش اخیر[۳] گروه اطلاعات تهدید گوگل (GTIG)، که شواهدی از یک عامل تهدید به نام UNC6148 را یافته است که از دستگاه‌های سری SMA 100 کاملاً وصله شده برای استقرار یک درب پشتی به نام OVERSTEP استفاده می‌کند، خطر بالقوه‌ای وجود دارد.

علاوه بر اعمال اصلاحات، این شرکت به مشتریان دستگاه‌های سری SMA 100 توصیه می‌کند مراحل زیر را نیز انجام دهند:

  • دسترسی مدیریت از راه دور را در رابط خارجی (X1) غیرفعال کنید تا سطح حمله کاهش یابد.
  • تمام رمزهای عبور را بازنشانی کنید و اتصال OTP (رمز عبور یک‌بارمصرف) را برای کاربران و مدیران دستگاه مجدداً راه‌اندازی کنید.
  • احراز هویت چندعاملی (MFA) را برای همه کاربران اعمال کنید.
  • فایروال برنامه وب (WAF) را در SMA 100 فعال کنید.

به سازمان‌هایی که از دستگاه‌های سری SMA 100 استفاده می‌کنند نیز توصیه می‌شود که گزارش‌های دستگاه و تاریخچه اتصال را برای ناهنجاری‌ها بررسی کنند و هرگونه نشانه‌ای از دسترسی غیرمجاز را بررسی کنند.

سازمان‌هایی که از محصول مجازی SMA 500v استفاده می‌کنند، موظف‌اند از فایل OVA نسخه پشتیبان تهیه کنند، پیکربندی را صادر کنند، ماشین مجازی موجود و تمام دیسک‌های مجازی و اسنپ‌شات‌های مرتبط را حذف کنند، OVA جدید را از SonicWall با استفاده از یک هایپروایزر دوباره نصب کنند و پیکربندی را بازیابی کنند.

  منابع

[۱] https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce

[۲] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0014

[۳] https://thehackernews.com/2025/07/unc6148-backdoors-fully-patched.html

[۴] https://thehackernews.com/2025/07/sophos-and-sonicwall-patch-critical-rce.html