Sophos dice que encontró, y parcheó, tres fallas en su producto de firewall
Las fallas permitieron RCE y escalada de privilegios
Los que no pueden aplicar el parche pueden usar una solución alternativa
Sophos ha descubierto recientemente, y parcheado, tres errores en su producto de Firewall, y dada la gravedad, ha instado a los usuarios a aplicar las correcciones lo antes posible. Se aconseja a aquellos que no pueden hacerlo que al menos apliquen las soluciones alternativas sugeridas.
Un aviso de seguridad de la compañía señala que las tres vulnerabilidades pueden ser abusadas para la ejecución remota de código, acceso al sistema privilegiado, y más. Dos de las fallas recibieron una puntuación de gravedad crítica (9.8), mientras que la tercera fue de alta gravedad (8.8).
Se dijo que múltiples versiones del Firewall de Sophos estaban afectadas, aunque diferentes versiones parecen ser susceptibles a diferentes fallas. Aun así, la compañía insta a todos los usuarios a llevar sus puntos finales a la última versión y evitar ser blanco de ataques.
Solución alternativa posible
El parcheado también difiere, dependiendo de la vulnerabilidad en cuestión. Para los usuarios de CVE-2024-12727, deben iniciar la Administración de Dispositivos, navegar hasta la Shell Avanzada desde la consola del Firewall de Sophos, y ejecutar el comando “cat /conf/nest_hotfix_status”.
Para las dos fallas restantes, los usuarios deben iniciar la Consola de Dispositivos desde la consola del Firewall de Sophos, y ejecutar el comando “system diagnostic show version-info”.
Los usuarios que no pueden aplicar el parche deberían al menos aplicar la solución alternativa sugerida, que incluye restringir el acceso SSH solo al enlace HA dedicado que está físicamente separado. Además, los usuarios deben reconfigurar HA utilizando una frase de paso personalizada suficientemente larga y aleatoria.
Por último, pueden deshabilitar el acceso WAN a través de SSH, y asegurarse de que el Portal de Usuario y el Webadmin no estén expuestos a WAN.
Se pueden encontrar más detalles sobre los errores, incluidos los CVEs, en este enlace.
Los firewalls son objetivos principales en ciberataques porque actúan como los guardianes principales entre las redes internas y las amenazas externas, convirtiéndolos en puntos críticos de defensa para datos y sistemas sensibles.
Comprometer un firewall puede otorgar a los atacantes acceso privilegiado a una red, pasando por alto los controles de seguridad y exponiendo todo el sistema a una mayor explotación. Además, los firewalls a menudo contienen datos de configuración valiosos y credenciales de acceso, que los atacantes pueden aprovechar para escalar sus ataques o mantener el acceso persistente.
Vía The Hacker News
También te puede interesar