Date de la divulgation (source) : 19 décembre 2024
CVE-2024-12727, CVE-2024-12728et CVE-2024-12729 sont des vulnérabilités affectant les pare-feu Sophos. Au moment de la rédaction de ce document, nous n'avons pas observé d'exploitation publique ou de preuve d'exploitation active pour l'une de ces vulnérabilités :
- CVE-2024-12727 est une vulnérabilité de type injection SQL avant authentification dans la fonction de protection des emails des versions de Sophos Firewall antérieures à 21.0 MR1 (21.0.1). Sophos Limited lui a attribué un score CVSS de 9.8 (critique).
- CVE-2024-12728 est une vulnérabilité d'authentification faible qui permet potentiellement un accès privilégié au système via SSH à Sophos Firewall antérieur à la version 20.0 MR3 (20.0.3). Sophos Limited lui a attribué un score CVSS de 9.8 (critique).
- CVE-2024-12729 est une vulnérabilité d'injection de code post-auth dans le Portail Utilisateur qui permet aux utilisateurs authentifiés d'exécuter du code à distance dans Sophos Firewall antérieur à la version 21.0 MR1 (21.0.1). Sophos Limited lui a attribué un score CVSS de 8.8 (élevé).
Sophos n'a pas observé d'exploitation active de ces vulnérabilités au moment de la publication de l'avis de sécurité. avis de sécurité. Cet avis comprend des étapes de remédiation pour chacune des vulnérabilités et des solutions de contournement pour CVE-2024-12728 et CVE-2024-12729.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-12727 - CVSS 9.8 (critique) - attribué par Sophos Limited |
CVE-2024-12728 - CVSS 9.8 (critique) - attribué par Sophos Limited |
CVE-2024-12729 - CVSS 8.8 (élevé) - attribué par Sophos Limited |
| Description de la vulnérabilité |
Une vulnérabilité d'injection SQL avant authentification dans la fonction de protection du courrier électronique des versions de Sophos Firewall antérieures à 21.0 MR1 (21.0.1) permet d'accéder à la base de données de reporting et peut conduire à l'exécution de code à distance si une configuration spécifique de Secure PDF eXchange (SPX) est activée en combinaison avec le pare-feu fonctionnant en mode haute disponibilité (HA). |
Une vulnérabilité d'identification faible permet potentiellement un accès privilégié au système via SSH à Sophos Firewall antérieur à la version 20.0 MR3 (20.0.3). |
Une vulnérabilité d'injection de code post-auth dans le portail utilisateur permet aux utilisateurs authentifiés d'exécuter du code à distance dans Sophos Firewall antérieur à la version 21.0 MR1 (21.0.1). |
| Date de la divulgation |
19 décembre 2024 |
| Actifs touchés |
Fonctionnalité de protection des emails du Sophos Firewall |
Module SSH du Sophos Firewall |
Portail utilisateur de Sophos Firewall |
| Versions de logiciels vulnérables |
< 21.0 MR1 (21.0.1) |
< 20.0 MR3 (20.0.3) |
< 21.0 MR1 (21.0.1) |
| PoC disponible ? |
Aucun PoC n'est disponible au moment de la rédaction. |
| Statut d'exploitation |
Aucune preuve d'exploitation active au moment de la rédaction du présent document. |
| Statut du patch |
Sophos a fourni des conseils de remédiation dans son avis de sécurité publié le 19 décembre 2024. |
Censys Perspective
Au moment de la rédaction du présent document, Censys observait 57,247 pare-feu Sophos exposés. Une grande partie d'entre eux (22%) sont géolocalisés en l'Inde. Il convient de noter que toutes les instances observées ne sont pas nécessairement vulnérables, car nous ne disposons pas toujours de versions spécifiques.
Carte des instances de pare-feu Sophos exposées :
Censys Requête de recherche :
services.http.response.body:"uiLangToHTMLLangAttributeValueMapping" or services.software: (vendor = "Sophos" and product="XG Firewall")
Censys Requête ASM :
host.services.http.response.body:"uiLangToHTMLLangAttributeValueMapping" or host.services.software: (vendor = "Sophos" and product="XG Firewall")
Références
