Sophos a corrigé trois vulnérabilités dans son produit Sophos Firewall qui pourraient permettre aux acteurs de la menace distants non authentifiés d’effectuer une injection SQL, d’exécuter du code à distance et d’obtenir un accès SSH privilégié aux périphériques.
Les vulnérabilités affectent Sophos Firewall version 21.0 GA (21.0.0) et plus anciennes, la société publiant déjà des correctifs et des correctifs permanents via de nouvelles mises à jour du micrologiciel.
Les trois défauts sont résumés comme suit:
- CVE-2024-127: Une vulnérabilité d’injection SQL de pré-authentification dans la fonctionnalité de protection de la messagerie. Si une configuration spécifique de Secure PDF eXchange (SPX) est activée en combinaison avec le mode Haute disponibilité (HA), elle permet d’accéder à la base de données de rapports, conduisant potentiellement à RCE.
- CVE-2024-12728: La phrase secrète de connexion SSH non aléatoire suggérée pour l’initialisation du cluster HA reste active une fois le processus terminé, laissant les systèmes sur lesquels SSH est activé vulnérables aux accès non autorisés en raison d’informations d’identification prévisibles.
- CVE-2024-12729: Un utilisateur authentifié peut exploiter une vulnérabilité d’injection de code dans le portail utilisateur. Cela permet aux attaquants disposant d’informations d’identification valides d’exécuter du code arbitraire à distance, augmentant le risque d’élévation de privilèges ou d’exploitation ultérieure.
La société affirme que CVE-2024-12727 affecte environ 0,05% des périphériques de pare-feu avec la configuration spécifique requise pour l’exploitation. En ce qui concerne CVE-2024-12728, le fournisseur indique qu’il affecte environ 0,5% des appareils.
Correctifs disponibles
Des correctifs et des correctifs complets ont été mis à disposition via différentes versions et dates, comme suit:
Des correctifs pour CVE-2024-12727 sont disponibles depuis le 17 décembre pour les versions 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19. 5 MR3, v19. 5 MR4, v19.0 MR2, tandis qu’un correctif permanent a été introduit dans la v21 MR1 et plus récente.
Des correctifs pour CVE-2024-12728 ont été publiés entre le 26 et le 27 novembre pour v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 et v20 MR2, tandis que des correctifs permanents sont inclus dans v20 MR3, v21 MR1 et versions ultérieures.
Pour CVE-2024-12729, des correctifs ont été publiés entre le 4 et le 10 décembre pour les versions v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3 et v20 MR3, et un correctif permanent est disponible dans v21 MR1 et versions ultérieures.
Pour obtenir des instructions sur la façon d’appliquer les correctifs du pare-feu Sophos et de valider qu’ils ont été installés avec succès, reportez-vous à KBA-000010084.
Sophos a également proposé des solutions de contournement pour atténuer les risques associés à CVE-2024-12728 et CVE-2024-12729 pour ceux qui ne peuvent pas appliquer le correctif ou la mise à niveau.
Pour atténuer CVE-2024-12728, il est recommandé de limiter l’accès SSH uniquement à la liaison HA dédiée qui est physiquement séparée des autres trafics réseau et de reconfigurer la configuration HA à l’aide d’une phrase secrète personnalisée suffisamment longue et aléatoire.
Pour la gestion et l’accès à distance, il est généralement recommandé de désactiver SSH via l’interface WAN et d’utiliser Sophos Central ou un VPN.
Pour atténuer CVE-2024-12729, il est recommandé aux administrateurs de s’assurer que les interfaces de portail utilisateur et d’administrateur Web ne sont pas exposées au WAN.