Sophos a corrigé trois vulnérabilités dans son produit Sophos Firewall qui pourraient permettre à des acteurs malveillants non authentifiés de réaliser des injections SQL, d'exécuter du code à distance (RCE) et d'obtenir un accès SSH privilégié aux appareils.
Les vulnérabilités concernent les versions 21.0 GA (21.0.0) et antérieures de Sophos Firewall. L'entreprise a déjà publié des correctifs temporaires et permanents via des mises à jour du firmware.
Résumé des vulnérabilités :
- CVE-2024-12727 : Une vulnérabilité d'injection SQL avant authentification dans la fonctionnalité de protection des e-mails. Si une configuration spécifique de Secure PDF eXchange (SPX) est activée en combinaison avec le mode Haute Disponibilité (HA), cela permet un accès à la base de données de rapports, pouvant entraîner une exécution de code à distance (RCE).
- CVE-2024-12728 : La phrase secrète suggérée et non aléatoire pour l'initialisation des clusters HA SSH reste active après le processus, rendant les systèmes où SSH est activé vulnérables à des accès non autorisés à cause de credentials prévisibles.
- CVE-2024-12729 : Un utilisateur authentifié peut exploiter une vulnérabilité d'injection de code dans le portail utilisateur. Cela permet aux attaquants disposant de credentials valides d'exécuter du code arbitraire à distance, augmentant le risque d'escalade de privilèges ou d'autres exploitations.
Sophos indique que la vulnérabilité CVE-2024-12727 affecte environ 0,05 % des appareils firewall ayant la configuration spécifique nécessaire à son exploitation. Quant à la vulnérabilité CVE-2024-12728, elle affecte environ 0,5 % des appareils.
Correctifs disponibles :
CVE-2024-12727 :
- Correctifs temporaires : Disponibles depuis le 17 décembre pour les versions 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4 et v19.0 MR2.
- Correctif permanent : Introduit dans la version v21 MR1 et les versions ultérieures.
CVE-2024-12728 :
- Correctifs temporaires : Publiés entre le 26 et le 27 novembre pour les versions v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 et v20 MR2.
- Correctif permanent : Disponible dans les versions v20 MR3, v21 MR1 et les versions ultérieures.
CVE-2024-12729 :
- Correctifs temporaires : Publiés entre le 4 et le 10 décembre pour les versions v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3 et v20 MR3.
- Correctif permanent : Disponible dans les versions v21 MR1 et plus récentes.
Pour savoir comment appliquer les correctifs de Sophos Firewall et vérifier leur installation, référez-vous au document KBA-000010084.
Mesures de mitigation :
Pour ceux qui ne peuvent pas appliquer les correctifs ou mettre à jour, Sophos propose des solutions pour atténuer les risques associés aux vulnérabilités :
- CVE-2024-12728 :
- Limiter l'accès SSH au lien HA dédié, physiquement séparé des autres trafics réseau.
- Réinitialiser la configuration HA avec une phrase secrète personnalisée, suffisamment longue et aléatoire.
- Désactiver SSH sur l'interface WAN pour la gestion à distance et utiliser Sophos Central ou un VPN.
- CVE-2024-12729 :
- Veiller à ce que les interfaces User Portal et Webadmin ne soient pas exposées au WAN.
Ces mesures contribuent à réduire les risques d'exploitation en attendant les mises à jour.
Sources :
https://www.bleepingcomputer.com/news/se...tion-flaw/
https://www.sophos.com/en-us/security-ad...9-sfos-rce
https://www.cisecurity.org/advisory/mult...n_2024-140
Les vulnérabilités concernent les versions 21.0 GA (21.0.0) et antérieures de Sophos Firewall. L'entreprise a déjà publié des correctifs temporaires et permanents via des mises à jour du firmware.
Résumé des vulnérabilités :
- CVE-2024-12727 : Une vulnérabilité d'injection SQL avant authentification dans la fonctionnalité de protection des e-mails. Si une configuration spécifique de Secure PDF eXchange (SPX) est activée en combinaison avec le mode Haute Disponibilité (HA), cela permet un accès à la base de données de rapports, pouvant entraîner une exécution de code à distance (RCE).
- CVE-2024-12728 : La phrase secrète suggérée et non aléatoire pour l'initialisation des clusters HA SSH reste active après le processus, rendant les systèmes où SSH est activé vulnérables à des accès non autorisés à cause de credentials prévisibles.
- CVE-2024-12729 : Un utilisateur authentifié peut exploiter une vulnérabilité d'injection de code dans le portail utilisateur. Cela permet aux attaquants disposant de credentials valides d'exécuter du code arbitraire à distance, augmentant le risque d'escalade de privilèges ou d'autres exploitations.
Sophos indique que la vulnérabilité CVE-2024-12727 affecte environ 0,05 % des appareils firewall ayant la configuration spécifique nécessaire à son exploitation. Quant à la vulnérabilité CVE-2024-12728, elle affecte environ 0,5 % des appareils.
Correctifs disponibles :
CVE-2024-12727 :
- Correctifs temporaires : Disponibles depuis le 17 décembre pour les versions 21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4 et v19.0 MR2.
- Correctif permanent : Introduit dans la version v21 MR1 et les versions ultérieures.
CVE-2024-12728 :
- Correctifs temporaires : Publiés entre le 26 et le 27 novembre pour les versions v21 GA, v20 GA, v20 MR1, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2 et v20 MR2.
- Correctif permanent : Disponible dans les versions v20 MR3, v21 MR1 et les versions ultérieures.
CVE-2024-12729 :
- Correctifs temporaires : Publiés entre le 4 et le 10 décembre pour les versions v21 GA, v20 GA, v20 MR1, v20 MR2, v19.5 GA, v19.5 MR1, v19.5 MR2, v19.5 MR3, v19.5 MR4, v19.0 MR2, v19.0 MR3 et v20 MR3.
- Correctif permanent : Disponible dans les versions v21 MR1 et plus récentes.
Pour savoir comment appliquer les correctifs de Sophos Firewall et vérifier leur installation, référez-vous au document KBA-000010084.
Mesures de mitigation :
Pour ceux qui ne peuvent pas appliquer les correctifs ou mettre à jour, Sophos propose des solutions pour atténuer les risques associés aux vulnérabilités :
- CVE-2024-12728 :
- Limiter l'accès SSH au lien HA dédié, physiquement séparé des autres trafics réseau.
- Réinitialiser la configuration HA avec une phrase secrète personnalisée, suffisamment longue et aléatoire.
- Désactiver SSH sur l'interface WAN pour la gestion à distance et utiliser Sophos Central ou un VPN.
- CVE-2024-12729 :
- Veiller à ce que les interfaces User Portal et Webadmin ne soient pas exposées au WAN.
Ces mesures contribuent à réduire les risques d'exploitation en attendant les mises à jour.
Sources :
https://www.bleepingcomputer.com/news/se...tion-flaw/
https://www.sophos.com/en-us/security-ad...9-sfos-rce
https://www.cisecurity.org/advisory/mult...n_2024-140
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
