Sophos telah merilis perbaikan terbaru untuk mengatasi tiga kelemahan keamanan pada produk Sophos Firewall yang dapat dieksploitasi untuk mencapai eksekusi kode jarak jauh dan memungkinkan akses sistem istimewa dalam kondisi tertentu.
Dari ketiganya, dua dinilai Kritis dalam tingkat keparahannya. Saat ini tidak ada bukti bahwa kekurangan tersebut telah dieksploitasi di alam liar. Daftar kerentanannya adalah sebagai berikut –
- CVE-2024-12727 (Skor CVSS: 9.8) – Kerentanan injeksi SQL pra-authentikasi dalam fitur perlindungan email yang dapat menyebabkan eksekusi kode jarak jauh, jika konfigurasi tertentu dari Secure PDF eXchange (SPX) diaktifkan bersama dengan firewall yang berjalan dalam Ketersediaan Tinggi ( HA) modus.
- CVE-2024-12728 (skor CVSS: 9.8) – Kerentanan kredensial lemah yang timbul dari frasa sandi login SSH yang disarankan dan non-acak untuk inisialisasi klaster Ketersediaan Tinggi (HA) yang tetap aktif bahkan setelah proses pembuatan HA selesai, sehingga mengekspos akun dengan akses istimewa jika SSH diaktifkan.
- CVE-2024-12729 (Skor CVSS: 8.8) – Kerentanan injeksi kode pasca-autentikasi di Portal Pengguna yang memungkinkan pengguna yang diautentikasi mendapatkan eksekusi kode jarak jauh.
Vendor keamanan mengatakan CVE-2024-12727 berdampak pada sekitar 0,05% perangkat, sedangkan CVE-2024-12728 memengaruhi sekitar 0,5% perangkat. Ketiga kerentanan yang teridentifikasi berdampak pada Sophos Firewall versi 21.0 GA (21.0.0) dan yang lebih lama. Ini telah diperbaiki dalam versi berikut –
- CVE-2024-12727 – v21 MR1 dan yang lebih baru (Perbaikan terbaru untuk v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2)
- CVE-2024-12728 – v20 MR3, v21 MR1 dan yang lebih baru (Perbaikan terbaru untuk v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v20 MR2)
- CVE-2024-12729 – v21 MR1 dan yang lebih baru (Perbaikan terbaru untuk v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3)
Untuk memastikan bahwa perbaikan terbaru telah diterapkan, pengguna disarankan untuk mengikuti langkah-langkah yang disebutkan di bawah –
- CVE-2024-12727 – Luncurkan Manajemen Perangkat > Advanced Shell dari konsol Sophos Firewall, dan jalankan perintah “cat /conf/nest_hotfix_status” (Perbaikan terbaru diterapkan jika nilainya 320 atau lebih tinggi)
- CVE-2024-12728 dan CVE-2024-12729 – Luncurkan Konsol Perangkat dari konsol Sophos Firewall, dan jalankan perintah “diagnostik sistem tampilkan info versi” (Perbaikan terbaru diterapkan jika nilainya HF120424.1 atau lebih baru)
Sebagai solusi sementara hingga patch dapat diterapkan, Sophos mendesak pelanggan untuk membatasi akses SSH hanya pada tautan HA khusus yang terpisah secara fisik, dan/atau mengkonfigurasi ulang HA menggunakan frasa sandi khusus yang cukup panjang dan acak.
Langkah pengamanan lain yang dapat dilakukan pengguna adalah dengan menonaktifkan akses WAN melalui SSH, serta memastikan User Portal dan Webadmin tidak terekspos ke WAN.
Perkembangan ini terjadi kurang lebih seminggu setelah pemerintah AS membuka dakwaan terhadap warga negara Tiongkok bernama Guan Tianfeng karena diduga mengeksploitasi kerentanan keamanan zero-day (CVE-2020-12271, skor CVSS: 9.8) untuk membobol sekitar 81,000 firewall Sophos di seluruh dunia. dunia.
