Sophos hat drei Schwachstellen in seiner Sophos Firewall behoben, die es nicht authentifizierten Bedrohungsakteuren ermöglichen könnten, SQL-Injection und Remote-Code-Ausführung vorzunehmen sowie privilegierten SSH-Zugriff auf Geräte zu erlangen.
Die Sicherheitslücken betreffen die Sophos Firewall Version 21.0 GA (21.0.0) und älter. Das Unternehmen hat bereits Hotfixes veröffentlicht, die standardmäßig installiert werden, sowie permanente Korrekturen durch neue Firmware-Updates.
Die drei Mängel lassen sich wie folgt zusammenfassen:
- CVE-2024-12727: Eine SQL-Injection-Schwachstelle vor der Authentifizierung in der E-Mail-Schutzfunktion. Wenn eine bestimmte Konfiguration von Secure PDF eXchange (SPX) in Kombination mit dem Hochverfügbarkeitsmodus (HA) aktiviert ist, ermöglicht sie den Zugriff auf die Berichtsdatenbank, was zu einem RCE führen kann.
- CVE-2024-12728: Die vorgeschlagene, nicht zufällige SSH-Anmeldepassphrase für die HA-Cluster-Initialisierung bleibt nach Abschluss des Prozesses aktiv, wodurch Systeme, auf denen SSH aktiviert ist, aufgrund vorhersehbarer Anmeldeinformationen anfällig für unbefugten Zugriff sind.
- CVE-2024-12729: Ein authentifizierter Benutzer kann eine Code-Injektionsschwachstelle im Benutzerportal ausnutzen. Dies erlaubt Angreifern mit gültigen Anmeldeinformationen, beliebigen Code aus der Ferne auszuführen, was das Risiko einer Privilegienerweiterung oder weiterer Ausnutzung erhöht.
Nach Angaben des Unternehmens sind von CVE-2024-12727 etwa 0,05% der Firewall-Geräte mit der für die Ausnutzung erforderlichen spezifischen Konfiguration betroffen. CVE-2024-12728 betrifft nach Angaben des Herstellers etwa 0,5% der Geräte.
Verfügbare Korrekturen
Hotfixes und vollständige Korrekturen wurden in verschiedenen Versionen und zu verschiedenen Terminen zur Verfügung gestellt, wie folgt:
Hotfixes für CVE-2024-12727 sind seit dem 17. Dezember für die Versionen 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2 verfügbar, während ein permanenter Fix in v21 MR1 und neuer eingeführt wurde.
Hotfixes für CVE-2024-12728 wurden zwischen dem 26. und 27. November für v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 und v20 MR2 veröffentlicht, während permanente Fixes in v20 MR3, v21 MR1 und neuer enthalten sind.
Für CVE-2024-12729 wurden zwischen dem 4. und 10. Dezember Hotfixes für die Versionen v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3 und v20 MR3 veröffentlicht, und ein permanenter Fix ist in v21 MR1 und später verfügbar.
Sophos Firewall-Hotfixes werden standardmäßig installiert. Eine Anleitung zur Anwendung der Hotfixes und zur Überprüfung, ob sie erfolgreich installiert wurden, finden Sie unter KBA-000010084.
Sophos hat außerdem Workarounds vorgeschlagen, um die Risiken im Zusammenhang mit CVE-2024-12728 und CVE-2024-12729 für diejenigen zu mindern, die den Hotfix oder das Upgrade nicht anwenden können.
Um CVE-2024-12728 abzuschwächen, wird empfohlen, den SSH-Zugriff nur auf die dedizierte HA-Verbindung zu beschränken, die physisch vom übrigen Netzwerkverkehr getrennt ist, und die HA-Einrichtung mit einer ausreichend langen und zufälligen benutzerdefinierten Passphrase neu zu konfigurieren.
Für Remote-Verwaltung und -Zugriff wird generell empfohlen, SSH über die WAN-Schnittstelle zu deaktivieren und Sophos Central oder ein VPN zu verwenden.
Um CVE-2024-12729 abzuschwächen, wird empfohlen, dass Administratoren sicherstellen, dass die Benutzerportal- und Webadmin-Schnittstellen nicht dem WAN ausgesetzt sind.
