Sophos, Sophos Güvenlik Duvarı ürünlerinde uzaktan kod yürütmek ve belirli koşullar altında ayrıcalıklı sistem erişimine izin vermek için kullanılabilecek üç güvenlik açığını gidermek için düzeltmeler yayınladı.
Üçünden ikisinin ciddiyeti Kritik olarak derecelendirildi. Şu anda eksikliklerin vahşi ortamda istismar edildiğine dair hiçbir kanıt yok. Güvenlik açıklarının listesi aşağıdaki gibidir:
- CVE-2024-12727 (CVSS puanı: 9,8) – Yüksek Kullanılabilirlik’te çalışan güvenlik duvarı ile birlikte belirli bir Güvenli PDF eXchange (SPX) yapılandırması etkinleştirilirse, e-posta koruma özelliğinde uzaktan kod yürütülmesine yol açabilecek bir kimlik doğrulama öncesi SQL ekleme güvenlik açığı ( HA) modu.
- CVE-2024-12728 (CVSS puanı: 9,8) – Yüksek Kullanılabilirlik (HA) kümesinin başlatılması için önerilen ve rastgele olmayan bir SSH oturum açma parolasından kaynaklanan, HA kurulum süreci tamamlandıktan sonra bile aktif kalan ve dolayısıyla SSH durumunda ayrıcalıklı erişime sahip bir hesabı açığa çıkaran zayıf bir kimlik bilgileri güvenlik açığı. etkinleştirildi.
- CVE-2024-12729 (CVSS puanı: 8,8) – Kullanıcı Portalında, kimliği doğrulanmış kullanıcıların uzaktan kod yürütme olanağı sağlayan, kimlik doğrulama sonrası kod ekleme güvenlik açığı.
Güvenlik satıcısı, CVE-2024-12727’nin cihazların yaklaşık %0,05’ini etkilediğini, CVE-2024-12728’in ise yaklaşık %0,5’ini etkilediğini söyledi. Tanımlanan üç güvenlik açığı da Sophos Firewall’un 21.0 GA (21.0.0) ve daha eski sürümlerini etkiliyor. Aşağıdaki sürümlerde düzeltilmiştir –
- CVE-2024-12727 – v21 MR1 ve daha yenisi (v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2 için düzeltmeler)
- CVE-2024-12728 – v20 MR3, v21 MR1 ve daha yenisi (v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 için düzeltmeler, v20 MR2)
- CVE-2024-12729 – v21 MR1 ve daha yenisi (v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 için düzeltmeler, v19.0 MR3)
Düzeltmelerin uygulandığından emin olmak için kullanıcıların aşağıda belirtilen adımları izlemeleri önerilir:
- CVE-2024-12727 – Sophos Güvenlik Duvarı konsolundan Cihaz Yönetimi > Gelişmiş Kabuk’u başlatın ve “cat /conf/nest_hotfix_status” komutunu çalıştırın (Düzeltme, değer 320 veya üzeriyse uygulanır)
- CVE-2024-12728 ve CVE-2024-12729 – Sophos Güvenlik Duvarı konsolundan Cihaz Konsolunu başlatın ve “sistem tanılama show version-info” komutunu çalıştırın (Değer HF120424.1 veya üzeri ise düzeltme uygulanır)
Yamalar uygulanıncaya kadar geçici geçici çözümler olarak Sophos, müşterilerini SSH erişimini yalnızca fiziksel olarak ayrı olan özel HA bağlantısıyla kısıtlamaya ve/veya HA’yı yeterince uzun ve rastgele bir özel parola kullanarak yeniden yapılandırmaya çağırıyor.
Kullanıcıların alabileceği bir diğer güvenlik önlemi de SSH üzerinden WAN erişimini devre dışı bırakmak, ayrıca Kullanıcı Portalı ve Webadmin’in WAN’a maruz kalmamasını sağlamaktır.
Bu gelişme, ABD hükümetinin, Guan Tianfeng adlı bir Çin vatandaşına karşı, sıfır gün güvenlik açığından (CVE-2020-12271, CVSS puanı: 9,8) yararlanarak yaklaşık 81.000 Sophos güvenlik duvarını ihlal ettiği iddiasıyla açılan suçlamaları açıklamasından bir haftadan biraz daha uzun bir süre sonra gerçekleşti. dünya.