Datum der Offenlegung (Quelle): Dezember 19, 2024
CVE-2024-12727, CVE-2024-12728und CVE-2024-12729 sind Sicherheitslücken, die Sophos Firewalls betreffen. Zum Zeitpunkt der Erstellung dieses Dokuments haben wir keine öffentlichen Exploits oder Hinweise auf eine aktive Ausnutzung einer dieser Schwachstellen festgestellt:
- CVE-2024-12727 ist eine Pre-Auth-SQL-Injection-Schwachstelle in der E-Mail-Schutzfunktion von Sophos Firewall-Versionen älter als 21.0 MR1 (21.0.1). Sie wurde von Sophos Limited mit einem CVSS-Score von 9.8 (kritisch) bewertet.
- CVE-2024-12728 ist eine Schwachstelle in Bezug auf Anmeldeinformationen, die möglicherweise privilegierten Systemzugriff über SSH auf Sophos Firewall älter als Version 20.0 MR3 (20.0.3) ermöglicht. Sie wurde von Sophos Limited mit dem CVSS-Score 9.8 (kritisch) eingestuft.
- CVE-2024-12729 ist eine Post-Auth-Code-Injection-Schwachstelle im Benutzerportal, die es authentifizierten Benutzern ermöglicht, Code in Sophos Firewall älter als Version 21.0 MR1 (21.0.1) aus der Ferne auszuführen. Sie wurde von Sophos Limited mit einem CVSS-Score von 8.8 (hoch) bewertet.
Sophos hat zum Zeitpunkt der Veröffentlichung des Sicherheitshinweises keine aktive Ausnutzung dieser Schwachstellen beobachtet Sicherheitshinweises. Der Hinweis enthält Abhilfemaßnahmen für jede der Sicherheitslücken sowie Umgehungslösungen für CVE-2024-12728 und CVE-2024-12729.
| Feld |
Einzelheiten |
| CVE-ID |
CVE-2024-12727 - CVSS 9.8 (kritisch) - zugewiesen von Sophos Limited |
CVE-2024-12728 - CVSS 9.8 (kritisch) - zugewiesen von Sophos Limited |
CVE-2024-12729 - CVSS 8.8 (hoch) - zugewiesen von Sophos Limited |
| Schwachstelle Beschreibung |
Eine Pre-Auth-SQL-Injection-Schwachstelle in der E-Mail-Schutzfunktion von Sophos Firewall-Versionen älter als 21.0 MR1 (21.0.1) ermöglicht den Zugriff auf die Reporting-Datenbank und kann zu Remotecodeausführung führen, wenn eine bestimmte Konfiguration von Secure PDF eXchange (SPX) in Kombination mit der im Hochverfügbarkeitsmodus (HA) laufenden Firewall aktiviert ist. |
Eine Schwachstelle in den Anmeldeinformationen ermöglicht möglicherweise privilegierten Systemzugriff über SSH auf Sophos Firewall, die älter als Version 20.0 MR3 (20.0.3) ist. |
Über eine Post-Auth-Code-Injection-Schwachstelle im Benutzerportal können authentifizierte Benutzer in der Sophos Firewall älter als Version 21.0 MR1 (21.0.1) Code von außen ausführen. |
| Datum der Offenlegung |
19. Dezember 2024 |
| Betroffene Vermögenswerte |
E-Mail-Schutzfunktion der Sophos Firewall |
SSH-Modul der Sophos Firewall |
Benutzerportal der Sophos Firewall |
| Anfällige Software-Versionen |
< 21.0 MR1 (21.0.1) |
< 20.0 MR3 (20.0.3) |
< 21.0 MR1 (21.0.1) |
| PoC verfügbar? |
Zum Zeitpunkt der Erstellung dieses Dokuments ist noch kein PoC verfügbar. |
| Verwertungsstatus |
Zum Zeitpunkt der Erstellung dieses Berichts gibt es keine Hinweise auf eine aktive Ausbeutung. |
| Patch-Status |
Sophos hat in seinem Sicherheitshinweis Hinweise zur Abhilfe gegeben Sicherheitshinweis veröffentlicht am 19. Dezember 2024. |
Censys Blickwinkel
Zum Zeitpunkt der Erstellung dieses Berichts beobachtete Censys 57,247 gefährdete Sophos Firewalls. Ein großer Teil davon (22%) befinden sich in Indien. Es ist zu beachten, dass nicht alle beobachteten Fälle zwangsläufig anfällig sind, da wir nicht immer spezifische Versionen zur Verfügung haben.
Karte der gefährdeten Sophos Firewall-Instanzen:
Censys Search Abfrage:
services.http.response.body:"uiLangToHTMLLangAttributeValueMapping" or services.software: (vendor = "Sophos" and product="XG Firewall")
Censys ASM-Abfrage:
host.services.http.response.body:"uiLangToHTMLLangAttributeValueMapping" or host.services.software: (vendor = "Sophos" and product="XG Firewall")
Referenzen
