Instituto Nacional de ciberseguridad. Sección Incibe
Instituto Nacional de Ciberseguridad. Sección INCIBE-CERT

Múltiples vulnerabilidades en Sophos Firewall

Fecha de publicación 23/12/2024
Identificador
INCIBE-2024-0620
Importancia
5 - Crítica
Recursos Afectados

Sophos Firewall, versiones (21.0.0) y anteriores.

Descripción

Un investigador de seguridad a través del programa de recompensas de Sophos junto al equipo de seguridad de Sophos, han reportado 3 vulnerabilidades, 2 de ellas de severidad crítica y 1 de severidad alta. La explotación de estas vulnerabilidades podría permitir la escalada de privilegios o la ejecución remota de código.

Solución
  • Para la CVE-2024-12727:
    • Actualizar a las versiones 21 MR1 o posteriores;
    • O en su lugar, aplicar el parche del 17/12/2024 para las versiones 21 GA, 20 GA, 20 MR1, 20 MR2, 20 MR3, 19.5 MR3, 19.5 MR4, 19.0 MR2.
  • Para la CVE-2024-12728:
    • Actualizar a las versiones 20 MR3, 21 MR1 o posteriores;
    • O en su lugar, aplicar el parche del 26/11/2024 para las versiones 21 GA, 20 GA, 20 MR1, 19.5 GA, 19.5 MR1, 19.5 MR2, 19.5 MR3, 19.5 MR4, 19.0 MR2 y el parche del 27/11/2024 para las versión 20 MR2.
  • Para la CVE-2024-12729:
    • Actualizar a las versiones 21 MR1 o posteriores;
    • O en su lugar, aplicar el parche del 04/12/2024 para las versiones 21 GA, 20 GA, 20 MR1, 20 MR2, el parche del 05/12/2024 para las versiones 19.5 GA, 19.5 MR1, 19.5 MR2, 19.5 MR3, 19.5 MR4, 19.0 MR2, 19.0 MR3 y el parche del 10/12/2024 para las versiones v20 MR3.

Los usuarios que tengan habilitada la función de actualizaciones automáticas no requieren de acciones manuales, es la opción recomendada por el fabricante.

Detalle

Debido a una configuración específica de Secure PDF eXchange (SPX), y al utilizarse en conjunto con el modo de alta disponibilidad (HA) del firewall, se permite una vulnerabilidad de inyección SQL en la función de protección de correo electrónico. La explotación de esta vulnerabilidad podría permitir a un atacante acceder a la base de datos de informes de Sophos Firewall y realizar una ejecución remota de código.

Se han asignado los identificadores CVE-2024-12727 y CVE-2024-12728 respectivamente para estas vulnerabilidades críticas.