Önde gelen siber güvenlik firması Sophos, yakın zamanda Sophos Güvenlik Duvarı ürünündeki üç kritik güvenlik açığının çözümünü duyurdu. Bu güvenlik açıkları, saldırganların etkilenen sistemlerde uzaktan kod yürütmesine olanak tanıyabilir.
CVE-2024-12727, CVE-2024-12728 ve CVE-2024-12729 olarak tanımlanan bu güvenlik açıkları, ağ güvenliği için Sophos Güvenlik Duvarı’na güvenen kuruluşlar için önemli riskler oluşturmaktadır.
CVE-2024-12727 Sophos Güvenlik Duvarı’nın e-posta koruma özelliğindeki bir ön kimlik doğrulama SQL enjeksiyon güvenlik açığıdır. Kötüye kullanılması durumunda, saldırganlara raporlama veritabanına erişim izni verebilir ve Güvenli PDF Değişimi (SPX) özelliğinin etkinleştirilmesi ve güvenlik duvarının Yüksek Kullanılabilirlik (HA) modunda çalışması gibi belirli koşullar altında uzaktan kod yürütülmesine olanak sağlayabilir.
Bu sorun, cihazların yaklaşık %0,05’ini etkilemektedir ve Sophos’un hata ödül programı aracılığıyla harici bir güvenlik araştırmacısı tarafından sorumlu bir şekilde açıklanmıştır.
CVE-2024-12728: Bu güvenlik açığı, önerilen ve rastgele olmayan bir SSH oturum açma parolasının HA kurulum sürecinden sonra yeniden kullanılmasını içerir ve SSH etkinse ayrıcalıklı sistem hesaplarının açığa çıkma potansiyeli vardır. Cihazların yaklaşık %0,5’ini etkiliyor ve Sophos’un dahili güvenlik testleri sırasında keşfedildi.
ANY.RUN ile Gerçek Dünyadaki Kötü Amaçlı Bağlantıları, Kötü Amaçlı Yazılımları ve Kimlik Avı Saldırılarını Araştırın – Ücretsiz Deneyin
CVE-2024-12729: Kullanıcı Portalındaki kimlik doğrulama sonrası kod ekleme güvenlik açığı, kimliği doğrulanmış kullanıcıların rastgele kod yürütmesine olanak tanır. Dışarıdan bir araştırmacı da bunu sorumlu bir şekilde açıkladı.
Sophos, bu güvenlik açıkları için “Düzeltmelerin otomatik olarak yüklenmesine izin ver” özelliği etkinleştirilmiş cihazlara otomatik olarak uygulanan düzeltmeler yayımladı. Bu özelliği kullanmayanlar için manuel güncellemeler gereklidir:
- CVE-2024-12727: v21 MR1 ve daha yeni sürümlerde yer alan düzeltmelerle birlikte çeşitli sürümler için düzeltmeler 17 Aralık 2024’te yayımlandı.
- CVE-2024-12728: Düzeltmeler 26 ve 27 Kasım 2024’te yayınlandı; düzeltmeler v20 MR3, v21 MR1 ve daha yeni sürümlerde yer aldı.
- CVE-2024-12729: Düzeltmeler 4, 5 ve 10 Aralık 2024’te yayınlandı ve düzeltmeler v21 MR1 ve daha yeni sürümlerde yer aldı.
Hemen güncelleme yapamayan kuruluşlar için Sophos geçici çözümler sunar:
- CVE-2024-12728 için: SSH erişimini özel HA bağlantılarıyla kısıtlayın ve HA yapılandırması için uzun, rastgele parolalar kullanın.
- CVE-2024-12729 için: Uzaktan yönetim için VPN veya Sophos Central kullanarak Kullanıcı Portalı ve WebAdmin arayüzlerine WAN erişimini devre dışı bırakın.
Sophos bu güvenlik açıklarının vahşi ortamda istismar edildiğini gözlemlemedi; ancak şirket, gelecekteki olası saldırıları önlemek için güncellemeleri uygulamanın ve önerilen hafifletici önlemleri takip etmenin önemini vurguluyor.
Kuruluşların, bu kritik güvenlik açıklarını etkili bir şekilde azaltmak için Sophos Güvenlik Duvarlarının güncel olduğundan emin olmaları tavsiye edilir.