Sophos ha abordado múltiples vulnerabilidades críticas en su producto Sophos Firewall. Estas fallas, reportadas tanto internamente como por investigadores externos, podrían permitir el acceso no autorizado, ejecución de código remoto y otros impactos graves en dispositivos afectados.
- CVE-2024-12727 (CVSS: 9.8): Una inyección SQL en la protección de correo electrónico puede permitir ejecución de código remoto si Secure PDF eXchange (SPX) está habilitado y el firewall opera en modo Alta Disponibilidad (HA).
- CVE-2024-12728 (CVSS: 9.8): Una vulnerabilidad de credenciales débiles permite acceso privilegiado al sistema a través de SSH en dispositivos Sophos Firewall configurados en modo HA.
- CVE-2024-12729 (CVSS: 8.8): Una vulnerabilidad de inyección de código post-autenticación en el Portal de Usuario permite a usuarios autenticados ejecutar código remoto en dispositivos con Sophos Firewall.
| CVE | Versión Afectada | Solución |
| CVE-2024-12727 | Desde 0 hasta antes de 21.0 MR1 (21.0.1). | Actualizar a la versión 21.0 MR1 (21.0.1) o posterior. |
| CVE-2024-12728 | Desde 0 hasta antes de 20.0 MR3 (20.0.3). | Actualizar a la versión 20.0 MR3 (20.0.3) o posterior. |
| CVE-2024-12729 | Desde 0 hasta antes de 21.0 MR1 (21.0.1). | Actualizar a la versión 21.0 MR1 (21.0.1) o posterior. |
Recomendaciones:
- Actualizar todos los dispositivos Sophos Firewall a las versiones remediadas mencionadas para garantizar la protección.
- Configurar credenciales fuertes y deshabilitar el acceso SSH desde redes no confiables.
- Evitar exponer el Portal de Usuario y Webadmin a redes WAN, usando en su lugar VPNs para la administración remota.
Referencias: