Sophos修复了其防火墙产品中的严重漏洞

Sophos已解决其Sophos防火墙解决方案中的三个漏洞，分别被追踪为CVE-2024-12727、CVE-2024-12728和CVE-2024-12729。这些漏洞影响Sophos Firewall v21.0 GA（21.0.0）及更早版本。以下是这些问题的描述：

• CVE-2024-12727（CVSS评分9.8）– 该漏洞是Sophos防火墙邮件保护中的预认证SQL注入问题，如果启用了SPX和HA模式，可能导致远程代码执行。Sophos表示，该问题影响约0.05%的设备。

• CVE-2024-12728（CVSS评分9.8）– 该漏洞是Sophos防火墙中用于HA集群设置的非随机SSH密码短语，设置后仍然活跃，可能导致约0.5%的设备上的特权账户暴露。

• CVE-2024-12729（CVSS评分8.8）– 该漏洞是用户门户中的后认证代码注入问题，允许经过身份验证的用户在Sophos Firewall旧于版本21.0 MR1（21.0.1）中远程执行代码。

Sophos的通告称：“Sophos已解决Sophos防火墙中的三个独立安全漏洞。对于启用了“允许自动安装补丁”功能的Sophos防火墙客户，无需采取任何措施（默认设置为启用）。”

为了缓解CVE-2024-12728，请将SSH限制在专用HA链路上，并使用强随机密码短语。对于CVE-2024-12729，请避免将用户门户和Webadmin暴露在WAN上。该公司尚未发现任何利用这些漏洞的野外攻击。

本月初，美国指控中国国民郭天丰（又名gbigmao和gxiaomao）在2020年入侵了全球数千台Sophos防火墙设备。郭天丰在四川沉默信息技术有限公司工作，因开发和测试用于攻击约81,000个防火墙的零日漏洞而面临指控。

郭天丰及其同谋利用了一个被追踪为CVE-2020-12271的零日漏洞，在Sophos防火墙中部署恶意软件，以窃取数据并加密文件以阻止补救尝试。

2020年4月底，Sophos发布了紧急补丁，以解决影响其XG防火墙产品的SQL注入零日漏洞，该漏洞已被利用。

Sophos在2020年4月22日收到了客户关于利用零日漏洞进行攻击的通知。客户注意到“管理界面中显示的可疑字段值”。

Sophos调查了此事件，并确定黑客针对的是在WAN区域配置了管理（HTTPS服务）或用户门户的系统。攻击者利用SQL注入零日漏洞访问暴露的XG设备。

Sophos的通告称：“攻击利用了一个之前未知的SQL注入漏洞来访问暴露的XG设备。它被设计用于下载旨在窃取XG防火墙中数据的有效负载。”

黑客利用SQL注入漏洞在设备上下载恶意代码，该代码旨在从XG防火墙窃取文件。黑客利用该漏洞安装Asnarök木马，允许攻击者窃取防火墙文件并使用窃取的信息远程破坏网络。几周后，专家观察到一波新的攻击，黑客利用该漏洞传播Ragnarok勒索软件。

原文始发于微信公众号（黑猫安全）：Sophos修复了其防火墙产品中的严重漏洞