A Sophos lançou hotfixes para corrigir três vulnerabilidades críticas em seus produtos de firewall, que poderiam ser exploradas para execução remota de código e acesso privilegiado ao sistema em condições específicas. Entre as três falhas, duas têm severidade crítica, mas não há evidências de que tenham sido exploradas ativamente até o momento.

As falhas são as seguintes: CVE-2024-12727, uma vulnerabilidade de injeção de SQL pré-autenticação que pode levar à execução remota de código em dispositivos configurados com o recurso de Secure PDF eXchange (SPX) habilitado em combinação com o firewall em modo de Alta Disponibilidade (HA); CVE-2024-12728, uma falha de credenciais fracas que deixa ativa uma senha SSH não aleatória sugerida para a inicialização de clusters HA, expondo contas com acesso privilegiado; e CVE-2024-12729, uma vulnerabilidade de injeção de código pós-autenticação no User Portal, que permite a execução de código remoto por usuários autenticados.

Essas vulnerabilidades afetam versões do Sophos Firewall 21.0 GA e anteriores, sendo corrigidas nas versões v21 MR1 e mais recentes, v20 MR3 e v21 MR1 e mais recentes, e v21 MR1 e mais recentes, respectivamente. Para garantir que os hotfixes foram aplicados, os usuários devem executar comandos específicos no console do firewall. A empresa também recomenda que, enquanto os patches não forem aplicados, os clientes restrinjam o acesso SSH a links dedicados de HA fisicamente separados, ou reconfigurem o HA com uma senha personalizada longa e aleatória.

Outra medida de segurança é desabilitar o acesso WAN via SSH e garantir que o User Portal e o Webadmin não sejam expostos à WAN. Esse anúncio ocorre pouco mais de uma semana após o governo dos EUA revelar acusações contra um cidadão chinês por explorar uma vulnerabilidade zero-day para invadir cerca de 81.000 firewalls Sophos ao redor do mundo.