Vulnerabilidades en Sophos Firewall

Sophos publicó una alerta de seguridad crítica informando sobre cinco vulnerabilidades que afectan diversas versiones de su producto Sophos Firewall. Entre ellas, destacan dos fallas que permiten ejecución remota de código (RCE) sin autenticación previa, explotables bajo configuraciones específicas. Estas vulnerabilidades podrían ser aprovechadas por atacantes para tomar control total de los dispositivos afectados, comprometiendo seriamente la integridad, confidencialidad y disponibilidad de las redes protegidas por estas soluciones.

Las vulnerabilidades más críticas en Sophos Firewall, CVE-2025-6704 y CVE-2025-7624, permiten la ejecución de código arbitrario antes de cualquier proceso de autenticación. Esta condición las convierte en fallas altamente explotables, especialmente en entornos expuestos a Internet.

Vulnerabilidades identificadas:

• CVE-2025-6704 (CVSS 9.8): Esta vulnerabilidad afecta la funcionalidad Secure PDF eXchange (SPX). Un atacante remoto no autenticado puede escribir archivos arbitrarios en el sistema a través de la manipulación de SPX, lo que deriva en una ejecución de código previa a la autenticación.
• CVE-2025-7624 (CVSS 9.8): Esta vulnerabilidad corresponde a una inyección SQL en el proxy SMTP en modo legacy, que también puede ser explotada antes de la autenticación. Su activación requiere que haya una política de cuarentena de correo electrónico activa y que el sistema haya sido actualizado desde una versión anterior a SFOS 21.0 GA, lo cual puede ser común en entornos donde no se aplican actualizaciones limpias.
• CVE-2025-7382: Inyección de comandos en WebAdmin, explotable por atacantes adyacentes en configuraciones HA.
• CVE-2024-13974: Lógica de negocio débil en el componente Up2Date, que permite controlar el entorno DNS del firewall.
• CVE-2024-13973: Inyección SQL post-autenticación que podría ser aprovechada por administradores para ejecutar código arbitrario.

Sophos afirma que no existe evidencia de explotación activa, pero debido a la criticidad y al vector pre-auth, recomienda aplicar los parches de inmediato. Además, ha desplegado hotfixes automáticos para la mayoría de versiones afectadas, aunque es esencial que los administradores verifiquen manualmente su correcta aplicación.

Productos y Versiones afectadas

• CVE-2025-6704, CVE-2025-7624, CVE-2025-7382: Afectan a Sophos Firewall v21.5 GA (21.5.0) y anteriores.
• CVE-2024-13974, CVE-2024-13973: Afectan a Sophos Firewall v21.0 GA (21.0.0) y anteriores.

Versiones corregidas: v21.0 MR2 y v21.0 MR1, respectivamente.

Solución

Verificar que los hotfixes automáticos se hayan aplicado correctamente (activados por defecto).

• Actualizar manualmente si es necesario a las versiones parcheadas según corresponda

Recomendaciones

• Establecer controles de acceso SSH restringidos por red.
• Auditar herramientas y canales de acceso remoto.
• Limitar el uso de protocolos SMB y RDP.
• Implementar autenticación multifactor (MFA).
• Realizar respaldos constantes y mantenerlos fuera de línea.
• Revisar privilegios de usuarios y concientizar sobre técnicas de phishing.
• Mantener una solución EDR configurada según buenas prácticas del fabricante.

Referencias

• https://cybersecuritynews.com/sophos-firewall-vulnerabilities-rce/#google_vignette
• https://thehackernews.com/2025/07/sophos-and-sonicwall-patch-critical-rce.html
• https://csirt.axtel.com.mx/bulletin/post/340
• https://enigmasecurity.cl/ataques-437/