Sophos, Sophos Güvenlik Duvarı ürünündeki, kimliği doğrulanmamış uzak tehdit aktörlerinin SQL enjeksiyonu, uzaktan kod yürütme gerçekleştirmesine ve cihazlara ayrıcalıklı SSH erişimi elde etmesine olanak verebilecek üç güvenlik açığını giderdi.
Güvenlik açıkları, Sophos Firewall’un 21.0 GA (21.0.0) ve daha eski sürümlerini etkiliyor; şirket halihazırda yeni ürün yazılımı güncellemeleri aracılığıyla düzeltmeler ve kalıcı düzeltmeler yayınlıyor.
Bu üç kusur şu şekilde özetlenebilir:
- CVE-2024-12727: E-posta koruma özelliğindeki kimlik doğrulama öncesi SQL ekleme güvenlik açığı. Belirli bir Güvenli PDF eXchange (SPX) yapılandırması Yüksek Kullanılabilirlik (HA) moduyla birlikte etkinleştirilirse, raporlama veritabanına erişime izin verir ve potansiyel olarak RCE’ye yol açar.
- CVE-2024-12728: HA kümesinin başlatılması için önerilen, rastgele olmayan SSH oturum açma parolası, işlem tamamlandıktan sonra etkin kalır ve SSH’nin etkinleştirildiği sistemleri, öngörülebilir kimlik bilgileri nedeniyle yetkisiz erişime karşı savunmasız bırakır.
- CVE-2024-12729: Kimliği doğrulanmış bir kullanıcı, Kullanıcı Portalındaki kod yerleştirme güvenlik açığından yararlanabilir. Bu, geçerli kimlik bilgilerine sahip saldırganların uzaktan rastgele kod yürütmesine olanak tanıyarak ayrıcalık yükseltme veya daha fazla istismar riskini artırır.
Şirket, CVE-2024-12727’nin, güvenlik duvarı cihazlarının yaklaşık %0,05’ini, istismar için gereken özel yapılandırmayla etkilediğini söylüyor. CVE-2024-12728’e gelince, satıcı bunun cihazların yaklaşık %0,5’ini etkilediğini söylüyor.
Mevcut düzeltmeler
Düzeltmeler ve tam düzeltmeler, aşağıdaki gibi çeşitli sürüm ve tarihlerde kullanıma sunuldu:
CVE-2024-12727 düzeltmeleri 17 Aralık’tan bu yana 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2 sürümleri için mevcut olup kalıcı bir düzeltme de sunulmuştur. v21 MR1 ve daha yeni sürümlerde.
v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19 için CVE-2024-12728 düzeltmeleri 26-27 Kasım tarihleri arasında yayımlandı. 0,0 MR2 ve v20 MR2, v20’de ise kalıcı düzeltmeler yer alıyor MR3, v21 MR1 ve daha yenisi.
CVE-2024-12729 için v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19 sürümleri için düzeltmeler 4 ile 10 Aralık arasında yayımlandı. 0,5 MR4, v19.0 MR2, v19.0 MR3 ve v20 MR3 ve v21 MR1 ve sonraki sürümlerde kalıcı bir düzeltme mevcuttur.
Sophos Güvenlik Duvarı düzeltmelerinin nasıl uygulanacağına ve bunların başarıyla yüklendiğinin doğrulanmasına ilişkin talimatlar için KBA-000010084’e bakın.
Sophos ayrıca düzeltmeyi veya yükseltmeyi uygulayamayanlar için CVE-2024-12728 ve CVE-2024-12729 ile ilişkili riskleri azaltmaya yönelik geçici çözümler de önerdi.
CVE-2024-12728’in etkisini azaltmak için, SSH erişiminin yalnızca diğer ağ trafiğinden fiziksel olarak ayrılan özel HA bağlantısıyla sınırlandırılması ve HA kurulumunun yeterince uzun ve rastgele bir özel parola kullanılarak yeniden yapılandırılması önerilir.
Uzaktan yönetim ve erişim için genellikle WAN arayüzü üzerinden SSH’nin devre dışı bırakılması ve Sophos Central veya VPN kullanılması önerilir.
CVE-2024-12729’un etkisini azaltmak için yöneticilerin, Kullanıcı Portalı ve Web Yöneticisi arayüzlerinin WAN’a açık olmadığından emin olması önerilir.