Sophos Firewall高危SQL注入漏洞CVE-2024-12727
Sophos Firewall 是由Sophos 公司推出的一款功能强大、易于管理的网络安全产品,其集成了NGFW、VPN 支持、ATP等多种安全功能。
Sophos Firewall 不仅是防火墙,更是最好的网络安全平台的核心(sysin),通过单一厂商、云管理控制台和代理,巩固和简化网络安全。
一、基本情况
Sophos Firewall 是一种网络安全解决方案,可以部署在专门构建的设备、云网络(AWS/Azure)、虚拟设备或x86 Intel硬件的软件设备上。
Sophos Firewall 旨在提供全面网络保护,支持多种网络安全特性:应用感知路由、TLS检测、深层包检测、远程接入VPN、日志报表等。
栋科技漏洞库关注到 Sophos Firewall 中存在多个漏洞,这些漏洞分别被追踪为CVE-2024-12727、CVE-2024-12728、CVE-2024-12729。
二、漏洞分析
CVE-2024-12727
CVE-2024-12727是 Sophos Firewall 中的SQL注入漏洞,CVSS评分9.8,可能导致攻击者通过构造恶意SQL查询未授权访问报告数据库。
该SQL注入漏洞具体存在于Sophos Firewall 21.0 MR1(21.0.1)之前版本电子邮件保护功能中,由于防火墙未正确验证或过滤输入数据。
该漏洞可能导致攻击者可通过构造恶意 SQL 查询未授权访问报告数据库,建议受影响用户做好资产自查及预防工作,以免遭受黑客攻击。
若防火墙运行在高可用性(HA)模式且启用 Secure PDF eXchange(SPX)特定配置,攻击者可能进一步利用该漏洞导致远程代码执行。
CVE-2024-12728
CVE-2024-12728是 Sophos Firewall 存在的弱凭证漏洞,CVSS评分9.8,可能允许特权系统通过SSH访问20.0 MR3(20.0.3)之前版本。
该漏洞源于高可用性(HA)集群初始化时所建议的非随机SSH 登录密码在HA建立过程完成后仍然有效,这就可能导致如下情况的发生:
如果Sophos Firewall 启用了 SSH 服务,那么攻击者可能利用这个已知的弱密码漏洞通过SSH 登录,从而可能会获得对系统的特权访问。
CVE-2024-12729
CVE-2024-12729是 Sophos Firewall 用户门户(User Portal)中的代码注入漏洞,CVSS评分8.8,经身份验证攻击者可能远程代码执行。
该漏洞具体存在于Sophos Firewall用户门户,经过身份验证的用户能够在版本21.0 MR1(21.0.1)之前Sophos Firewall中远程执行代码。
三、影响范围
Sophos Firewall <= v21.0 GA(21.0.0)
四、修复建议
目前这些漏洞已经修复,受影响用户可升级到以下版本:
CVE-2024-12727
Sophos Firewall v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2:
应用补丁或升级到 v21 MR1及更高版本。
CVE-2024-12728
Sophos Firewall v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2:
应用补丁或升级到v20 MR3、v21 MR1 及更高版本。
CVE-2024-12729
Sophos Firewall v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、
v19.0 MR2、v19.0 MR3、v20 MR3:应用补丁或升级到v21 MR1 及更高版本。
五、临时方案
CVE-2024-12728
确保 SSH 访问仅限于专用的、物理上独立 HA 链接,即通过一个专门的网络连接来进行 HA 配置和管理,而不是通过广泛的 SSH 访问。
重新配置 HA,使用一个足够长且随机的自定义密码来替代默认的弱密码,从而降低密码被破解的风险。
禁用通过WAN端口的 SSH 访问,并改用 VPN 或 Sophos Central 进行远程访问和管理。
CVE-2024-12729
禁用对用户门户和 Webadmin 的 WAN 访问,并改用 VPN 或 Sophos Central 进行远程访问和管理。
六、参考链接
https://www.sophos.com/en-us/security-advisories/sophos-sa-20241219-sfos-rce