Fecha de divulgación (fuente): 19 de diciembre de 2024
CVE-2024-12727, CVE-2024-12728y CVE-2024-12729 son vulnerabilidades que afectan a los cortafuegos de Sophos. En el momento de redactar este documento, no observamos exploits públicos ni pruebas de explotación activa de ninguna de estas vulnerabilidades:
- CVE-2024-12727 es una vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico de las versiones de Sophos Firewall anteriores a la 21.0 MR1 (21.0.1). Sophos Limited le ha asignado una puntuación CVSS de 9,8 (crítica).
- CVE-2024-12728 es una vulnerabilidad de credenciales débiles que potencialmente permite el acceso privilegiado al sistema a través de SSH a Sophos Firewall anterior a la versión 20.0 MR3 (20.0.3). Sophos Limited le ha asignado una puntuación CVSS de 9.8 (crítico).
- CVE-2024-12729 es una vulnerabilidad de inyección de código post-auth en el Portal de usuarios que permite a usuarios autenticados ejecutar código de forma remota en Sophos Firewall anteriores a la versión 21.0 MR1 (21.0.1). Sophos Limited le ha asignado una puntuación CVSS de 8,8 (alta).
Sophos no ha observado ninguna explotación activa de estas vulnerabilidades en el momento de publicar su aviso de seguridad. El aviso incluye medidas correctoras para cada una de las vulnerabilidades y soluciones para CVE-2024-12728 y CVE-2024-12729.
| Campo |
Detalles |
| CVE-ID |
CVE-2024-12727 - CVSS 9.8 (crítico) - asignado por Sophos Limited |
CVE-2024-12728 - CVSS 9.8 (crítico) - asignado por Sophos Limited |
CVE-2024-12729 - CVSS 8.8 (alto) - asignado por Sophos Limited |
| Descripción de la vulnerabilidad |
Una vulnerabilidad de inyección SQL previa a la autenticación en la función de protección de correo electrónico de las versiones de Sophos Firewall anteriores a la 21.0 MR1 (21.0.1) permite acceder a la base de datos de informes y puede dar lugar a la ejecución remota de código si se activa una configuración específica de Secure PDF eXchange (SPX) en combinación con el cortafuegos que se ejecuta en modo de alta disponibilidad (HA). |
Una vulnerabilidad de credenciales débiles permite potencialmente el acceso privilegiado al sistema a través de SSH a Sophos Firewall anterior a la versión 20.0 MR3 (20.0.3). |
Una vulnerabilidad de inyección de código post-auth en el Portal de usuarios permite a usuarios autenticados ejecutar código de forma remota en Sophos Firewall anteriores a la versión 21.0 MR1 (21.0.1). |
| Fecha de divulgación |
19 de diciembre de 2024 |
| Activos afectados |
Función de protección de correo electrónico de Sophos Firewall |
Módulo SSH de Sophos Firewall |
Portal de usuario de Sophos Firewall |
| Versiones de software vulnerables |
< 21.0 MR1 (21.0.1) |
< 20.0 MR3 (20.0.3) |
< 21.0 MR1 (21.0.1) |
| ¿PoC disponible? |
En el momento de redactar el presente documento no se disponía de ninguna PdC. |
| Estado de explotación |
No hay indicios de explotación activa en el momento de redactar este informe. |
| Estado del parche |
Sophos ha proporcionado una guía de corrección en su aviso de seguridad publicado el 19 de diciembre de 2024. |
Censys Perspectiva
En el momento de redactar este informe, Censys observó 57,247 cortafuegos de Sophos expuestos. Una gran proporción de ellos (22%) están geolocalizados en India. Tenga en cuenta que no todos los casos observados son necesariamente vulnerables, ya que no siempre disponemos de versiones específicas.
Mapa de instancias de Sophos Firewall expuestas:
Censys Consulta de búsqueda:
services.http.response.body:"uiLangToHTMLLangAttributeValueMapping" or services.software: (vendor = "Sophos" and product="XG Firewall")
Censys Consulta ASM:
host.services.http.response.body:"uiLangToHTMLLangAttributeValueMapping" or host.services.software: (vendor = "Sophos" and product="XG Firewall")
Referencias
