Sophos 已发布热修复程序,以解决 Sophos 防火墙产品中的三个安全漏洞,这些漏洞在某些条件下可被利用来实现远程代码执行并允许特权系统访问。
在这三个漏洞中,有两个的严重程度被评为 “严重”。目前还没有证据表明这些漏洞已在野外被利用。漏洞列表如下
CVE-2024-12727(CVSS 得分:9.8)- 如果启用安全 PDF eXchange (SPX)的特定配置并结合防火墙在高可用性 (HA) 模式下运行,则电子邮件保护功能中的预授权 SQL 注入漏洞可能导致远程代码执行。
CVE-2024-12728 (CVSS 得分:9.8) – 由於高可用性(HA)叢集初始化的建議和非隨機 SSH 登錄密碼,即使在 HA 建立過程完成後仍保持有效,因而產生弱憑證漏洞。
CVE-2024-12729(CVSS 得分:8.8)- 用户门户中的验证后代码注入漏洞,允许通过验证的用户远程执行代码。
该安全厂商表示,CVE-2024-12727 会影响约 0.05% 的设备,而 CVE-2024-12728 则会影响约 0.5% 的设备。所有三个发现的漏洞都会影响 Sophos Firewall 21.0 GA (21.0.0) 及更早版本。以下版本已对该漏洞进行了修复
CVE-2024-12727 – v21 MR1 及更新版本(针对 v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2 的热修复程序)
CVE-2024-12728 – v20 MR3、v21 MR1 和更新版本(适用于 v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2 和 v20 MR2 的热修复程序)
CVE-2024-12729 – v21 MR1 及更新版本(适用于 v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3 的热修复程序)
为确保已应用热修补程序,建议用户按照以下步骤操作
CVE-2024-12727 – 从 Sophos Firewall 控制台启动 Device Management > Advanced Shell,然后运行命令 “cat /conf/nest_hotfix_status”(如果值为 320 或以上,则已应用热修复程序)。
CVE-2024-12728 和 CVE-2024-12729 – 从 Sophos Firewall 控制台启动设备控制台,并运行命令 “system diagnostic show version-info”(如果值为 HF120424.1 或更高版本,则会应用热修复程序)
作为补丁应用前的临时解决方法,Sophos 建议客户将 SSH 访问限制为仅访问物理上独立的专用 HA 链接,和/或使用足够长且随机的自定义口令重新配置 HA。
用户可以采取的另一项安全措施是禁止通过 SSH 访问广域网,并确保用户门户和 Webadmin 不暴露于广域网。
就在一周前,美国政府公布了对中国公民关天峰的指控,他涉嫌利用零日安全漏洞(CVE-2020-12271,CVSS 得分:9.8)入侵全球约 81,000 台 Sophos 防火墙。
文章原文链接:https://www.anquanke.com/post/id/302935