Sophos i SonicWall su upozorili korisnike na kritične sigurnosne propuste u Sophos Firewall i Secure Mobile Access (SMA) 100 seriji uređaja koji bi se mogli iskoristiti za postizanje udaljenog izvršavanja koda.
Dvije ranjivosti koje utiču na Sophos Firewall navedene su u nastavku –
- CVE-2025-6704 (CVSS rezultat: 9,8) – Ranjivost u vidu proizvoljnog pisanja datoteka u funkciji Secure PDF eXchange (SPX) može dovesti do udaljenog izvršavanja koda prije autorizacije, ako je određena konfiguracija SPX-a omogućena u kombinaciji sa zaštitnim zidom koji radi u režimu visoke dostupnosti (HA).
- CVE-2025-7624 (CVSS rezultat: 9.8) – Ranjivost SQL injekcije u naslijeđenom (transparentnom) SMTP proxyju može dovesti do udaljenog izvršavanja koda ako je aktivna politika karantene za e-poštu i SFOS je nadograđen s verzije starije od 21.0 GA.
Sophos je saopštio da CVE-2025-6704 utiče na oko 0,05% uređaja, dok CVE-2025-7624 utiče na čak 0,73% uređaja. Obje ranjivosti su riješene, uz ranjivost visokog stepena ozbiljnosti koja se odnosi na ubrizgavanje komandi u komponenti WebAdmin ( CVE-2025-7382 , CVSS rezultat: 8,8) koja bi mogla rezultirati izvršavanjem koda prije autorizacije na pomoćnim uređajima visoke dostupnosti (HA), ako je omogućena OTP autentifikacija za administratorskog korisnika.
Kompanija je takođe ispravila još dvije ranjivosti –
- CVE-2024-13974 (CVSS ocjena: 8,1) – Ranjivost poslovne logike u komponenti Up2Date može dovesti do toga da napadači kontroliraju DNS okruženje zaštitnog zida kako bi postigli udaljeno izvršavanje koda.
- CVE-2024-13973 (CVSS rezultat: 6,8) – Ranjivost SQL injekcije nakon autentifikacije u WebAdminu može potencijalno dovesti do toga da administratori izvrše proizvoljno kod.
Nacionalni centar za sajber sigurnost Ujedinjenog Kraljevstva (NCSC) zaslužan je za otkrivanje i prijavljivanje i CVE-2024-13974 i CVE-2024-13973. Problemi utiču na sljedeće verzije –
- CVE-2024-13974 – Utiče na Sophos Firewall v21.0 GA (21.0.0) i starije verzije
- CVE-2024-13973 – Utiče na Sophos Firewall v21.0 GA (21.0.0) i starije verzije
- CVE-2025-6704 – Utiče na Sophos Firewall v21.5 GA (21.5.0) i starije verzije
- CVE-2025-7624 – Utiče na Sophos Firewall v21.5 GA (21.5.0) i starije verzije
- CVE-2025-7382 – Utiče na Sophos Firewall v21.5 GA (21.5.0) i starije verzije
Otkriće dolazi nakon što je SonicWall detaljno opisao kritičnu grešku u web interfejsu za upravljanje SMA 100 serije (CVE-2025-40599, CVSS rezultat: 9.1) koju udaljeni napadač s administratorskim privilegijama može iskoristiti za učitavanje proizvoljnih datoteka i potencijalno postizanje udaljenog izvršavanja koda.
Greška utiče na proizvode SMA 100 serije (SMA 210, 410, 500v) i riješena je u verziji 10.2.2.1-90sv.
SonicWall je takođe istakao da, iako ranjivost nije iskorištena, postoji potencijalni rizik s obzirom na nedavni izvještaj Google Threat Intelligence Group (GTIG), koji je pronašao dokaze o prijetnji pod nazivom UNC6148 koja koristi potpuno ažurirane SMA 100 uređaje za postavljanje backdoora pod nazivom OVERSTEP.
Pored primjene ispravki, kompanija takođe preporučuje da kupci uređaja SMA 100 serije izvrše sljedeće korake –
- Onemogućite pristup daljinskom upravljanju na eksternom interfejsu (X1) kako biste smanjili površinu za napad
- Resetiraj sve lozinke i ponovo inicijaliziraj OTP (jednokratna lozinka) povezivanje za korisnike i administratore na uređaju
- Provedite višefaktorsku autentifikaciju (MFA) za sve korisnike
- Omogućite zaštitni zid web aplikacija (WAF) na SMA 100
Organizacijama koje koriste uređaje SMA 100 serije se takođe savjetuje da pregledaju zapise uređaja i historiju povezivanja u potrazi za anomalijama i provjere ima li znakova neovlaštenog pristupa.
Organizacije koje koriste virtuelni proizvod SMA 500v moraju napraviti sigurnosnu kopiju OVA datoteke, izvesti konfiguraciju, ukloniti postojeću virtuelnu mašinu i sve povezane virtuelne diskove i snimke stanja, ponovo instalirati novu OVA sa SonicWall-a pomoću hipervizora i vratiti konfiguraciju.
Izvor:The Hacker News