Ciberseguridad 360 | Vulnerabilidad crítica RCE en Sophos Firewall

Sophos ha solucionado tres vulnerabilidades en su producto Sophos Firewall que podr�an permitir a los actores de amenazas remotas no autenticadas realizar inyecci�n SQL, ejecuci�n remota de c�digo y obtener acceso SSH privilegiado a los dispositivos.

Las vulnerabilidades afectan a la versi�n 21.0 GA (21.0.0) y anteriores de Sophos Firewall, y la empresa ya ha publicado hotfixes y correcciones permanentes a trav�s de nuevas actualizaciones de firmware.

Los tres fallos se resumen a continuaci�n:

CVE-2024-12727: Una vulnerabilidad de inyecci�n SQL previa a la autenticaci�n en la funci�n de protecci�n de correo electr�nico. Si se activa una configuraci�n espec�fica de Secure PDF eXchange (SPX) en combinaci�n con el modo de alta disponibilidad (HA), se permite el acceso a la base de datos de informes, lo que puede dar lugar a RCE.

CVE-2024-12728: La frase de contrase�a de inicio de sesi�n SSH sugerida y no aleatoria para la inicializaci�n del cl�ster de HA permanece activa una vez finalizado el proceso, lo que deja a los sistemas en los que SSH est� habilitado vulnerables a accesos no autorizados debido a la previsibilidad de las credenciales.

CVE-2024-12729: Un usuario autenticado puede explotar una vulnerabilidad de inyecci�n de c�digo en el Portal de usuario. Esto permite a los atacantes con credenciales v�lidas ejecutar c�digo arbitrario de forma remota, aumentando el riesgo de escalada de privilegios o explotaci�n adicional.

La empresa afirma que CVE-2024-12727 afecta aproximadamente al 0,05% de los dispositivos Firewall con la configuraci�n espec�fica necesaria para su explotaci�n. En cuanto a CVE-2024-12728, el proveedor dice que afecta aproximadamente al 0,5% de los dispositivos.

Correcciones disponibles

Las revisiones y correcciones completas se pusieron a disposici�n a trav�s de varias versiones y fechas, como se indica a continuaci�n:

Los hotfixes para CVE-2024-12727 est�n disponibles desde el 17 de diciembre para las versiones 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2, mientras que en v21 MR1 y posteriores se introdujo un fix permanente.

Entre el 26 y el 27 de noviembre se publicaron hotfixes para CVE-2024-12728 para v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 y v20 MR2, mientras que las correcciones permanentes se incluyen en v20 MR3, v21 MR1 y posteriores.

Para CVE-2024-12729, se publicaron hotfixes entre el 4 y el 10 de diciembre para las versiones v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3, y v20 MR3, y una correcci�n permanente est� disponible en v21 MR1 y posteriores.

Para obtener instrucciones sobre c�mo aplicar las revisiones de Sophos Firewall y validar que se han instalado correctamente, consulte KBA-000010084.

Sophos tambi�n ha propuesto soluciones para mitigar los riesgos asociados a CVE-2024-12728 y CVE-2024-12729 para aquellos que no puedan aplicar el hotfix o actualizar.

Para mitigar CVE-2024-12728, se recomienda limitar el acceso SSH s�lo al enlace de HA dedicado que est� f�sicamente separado del resto del tr�fico de red y reconfigurar la configuraci�n de HA utilizando una frase de contrase�a personalizada suficientemente larga y aleatoria.

Para la gesti�n y el acceso remotos, se recomienda desactivar SSH en la interfaz WAN y utilizar Sophos Central o una VPN.

Para mitigar CVE-2024-12729, se recomienda que los administradores se aseguren de que las interfaces User Portal y Webadmin no est�n expuestas a la WAN.

Fuente:bleepingcomputer