Sophos

ソフォスは、Sophos Firewall 製品において、リモートの認証されていない脅威行為者に SQL インジェクション、リモートコード実行、およびデバイスへの特権 SSH アクセスを実行される可能性のある 3 つの脆弱性に対処しました。

これらの脆弱性は、Sophos Firewall バージョン 21.0 GA (21.0.0) およびそれ以前のバージョンに影響し、同社はすでにデフォルトでインストールされるホットフィックスをリリースしており、新しいファームウェアのアップデートによって恒久的な修正が行われる。

3つの欠陥の概要は以下の通り:

  • CVE-2024-12727:電子メール保護機能における認証前SQLインジェクションの脆弱性。Secure PDF eXchange (SPX)の特定の設定が、High Availability (HA)モードと組み合わされて有効になっている場合、レポートデータベースへのアクセスが可能となり、RCEにつながる可能性があります。
  • CVE-2024-12728:HAクラスタの初期化で推奨される、ランダムでないSSHログインパスフレーズが、プロセスの完了後も有効なままであるため、SSHが有効になっているシステムに、予測可能な認証情報による不正アクセスの脆弱性が残ります。
  • CVE-2024-12729: 認証されたユーザが、ユーザポータルのコードインジェクションの脆弱性を悪用できます。これにより、有効な認証情報を持つ攻撃者がリモートで任意のコードを実行できるようになり、特権の昇格やさらなる悪用の危険性が高まります。

同社によると、CVE-2024-12727は、悪用に必要な特定の設定を持つファイアウォール機器の約0.05%に影響するとのこと。CVE-2024-12728については、約0.5%のデバイスに影響があるとしている。

利用可能な修正プログラム

Hotfixおよび完全な修正プログラムは、以下のとおり、さまざまなバージョンおよび日付で提供されています:

CVE-2024-12727に対するHotfixは、バージョン21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2に対して12月17日より提供されており、v21 MR1以降では恒久的な修正が導入されている。

CVE-2024-12728に対するHotfixは、11月26日から27日にかけて、v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2に対してリリースされました。

CVE-2024-12729 については、12月4日から12月10日の間に、v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3、v20 MR3 に対してホットフィックスがリリースされ、v21 MR1 以降には恒久的な修正が含まれています。

Sophos Firewall のホットフィックスはデフォルトでインストールされますが、KBA-000010084 を参照すると、ホットフィックスの適用方法と、ホットフィックスが正常にインストールされたことを確認する方法が記載されています。

ソフォスは、ホットフィックスを適用できない場合やアップグレードできない場合のために、CVE-2024-12728 および CVE-2024-12729 に関連するリスクを軽減するための回避策も提案しています。

CVE-2024-12728 を緩和するには、SSH アクセスを他のネットワークトラフィックから物理的に分離された専用の HA リンクのみに制限し、十分に長くランダムなカスタムパスフレーズを使用して HA 設定を再設定することを推奨します。

リモート管理およびリモートアクセスについては、WAN インターフェース経由の SSH を無効にし、Sophos Central または VPN を使用することを一般的に推奨します。

CVE-2024-12729 を緩和するために、管理者はユーザーポータルと Webadmin インターフェースが WAN に公開されていないことを確認することを推奨します。

更新 12/20/24: ホットフィックスはデフォルトでインストールされることを説明するために記事を更新しました。