Sophos发布了热修复程序,修复了其防火墙产品中的三个安全漏洞,这些漏洞可能被利用来实现远程代码执行,并在特定条件下允许特权系统访问。
其中两个漏洞的严重性被评为“关键”,但截至目前,没有证据表明这些漏洞已被大规模地利用以进行攻击。以下是漏洞的详细信息:
- CVE-2024-12727 (CVSS评分:9.8):在电子邮件保护功能中存在一个未经身份验证的SQL注入漏洞,攻击者如果启用了特定配置的Secure PDF eXchange(SPX),并且防火墙运行在高可用(HA)模式下,可能导致远程代码执行。CVE-2024-12728 (CVSS评分:9.8):在高可用(HA)集群初始化过程中,由于建议的非随机SSH登录密码短语,存在一个弱口令漏洞,即使在HA建立过程完成后,该密码仍然有效,从而暴露了特权访问帐户(如果SSH已启用)。CVE-2024-12729(CVSS评分:8.8):在用户门户中存在一个身份验证后代码注入漏洞,允许经过身份验证的用户获得远程代码执行权限。
该安全厂商表示,CVE-2024-12727 影响大约0.05%的设备,而 CVE-2024-12728 影响约0.5%的设备。这三种漏洞都影响Sophos Firewall 21.0 GA(21.0.0)及更早版本,修复版本如下:
- CVE-2024-12727 – v21 MR1及更新版本(修复v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2)CVE-2024-12728 – v20 MR3、v21 MR1及更新版本(修复v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2)CVE-2024-12729 – v21 MR1及更新版本(修复v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3)
为了确保热修复程序已应用,用户被建议执行以下步骤:
CVE-2024-12727 – 从Sophos防火墙控制台启动设备管理>高级Shell,运行命令“cat /conf/nest_hotfix_status”(如果值为320或更高,则表示已应用热修复程序)
CVE-2024-12728 和CVE-2024-12729 – 从Sophos防火墙控制台启动设备控制台,运行命令“system diagnostic show version-info”(如果值为HF120424.1或更高,则表示已应用热修复程序)
作为临时解决方法,直到应用补丁,Sophos建议客户将SSH访问限制为仅通过物理隔离的专用HA链路,和/或重新配置HA,使用足够长且随机的自定义密码短语。
用户还可以采取的另一个安全措施是禁用WAN上的SSH访问,并确保用户门户和Web管理界面不暴露在WAN上。
这一安全修复发生在约一周前美国政府对中国公民关天峰提出指控之后,该指控称关天峰利用零日安全漏洞(CVE-2020-12271,CVSS评分高达9.8)侵入了全球大约81,000台Sophos防火墙。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
