Aviso sobre amenazas de ciberseguridad:

26 de diciembre de 2024

Afectación crítica en Firewall Sophos

Sophos ha revelado tres vulnerabilidades criticas en su Firewall que podrían permitir a atacantes remotos no autenticados realizar inyecciones de lenguaje de consulta estructurado (SQL), ejecutando código arbitrario y obteniendo acceso seguro privilegiado (SSH) a los dispositivos afectados.

¿Cuál es la amenaza?

Las vulnerabilidades identificadas son las siguientes:

CVE-2024-12727: una falla de inyección de código SQL previa a la autenticación en la función de protección de correo electrónico que, en configuraciones especificas que involucran el modo de intercambio seguro de PDF (SPX) y alta disponibilidad (HA), podría provocar la ejecución remota de código.

CVE-2024-12728: Una debilidad en la que la contraseña de inicio de sesión SSH sugerida y no aleatoria para la inicialización de un clúster HA permanece activa después de la configuración, lo que potencialmente expone una cuenta de sistema privilegiada si SSH está habilitado.

CVE-2024-12729: Una vulnerabilidad de inyección de código posterior a la autenticación en el Portal de usuario, que permite a los usuarios autenticados ejecutar código arbitrario de forma remota.

Estas vulnerabilidades podrían ser explotadas por atacantes para comprometer la seguridad del Firewall, ejecutar código malicioso y obtener acceso no autorizado a los recursos de la red.

¿Por qué es de relevancia?

Estas vulnerabilidades son importantes debido a sus altos niveles de gravedad y su potencial impacto. CVE-2024-12727 y CVE-2024-12728 tienen una puntuación CVSS de 9,8, lo que indica un riesgo crítico, mientras que CVE-2024-12729 tiene una puntación 8,8. La explotación podría provocar la vulneración total del sistema, acceso no autorizado y ejecución de código arbitrario, lo que socavaría la seguridad de la red. Las configuraciones especificas necesarias para la explotación pueden hacer que algunas organizaciones subestimen su riesgo, lo que podría dejarlas vulnerables.

¿Cuál es el riesgo?

Las organizaciones que utilizan las versiones afectadas de Sophos Firewall corren el riesgo de sufrir lo siguiente:

Ejecución remota de código (RCE): los atacantes podrían ejecutar código malicioso, lo que provocaría filtraciones de datos o interrupciones del sistema.

Acceso no autorizado: la explotación de contraseñas SSH débiles podría otorgar a los atacantes acceso privilegiado, lo que facilitaría una mayor vulneración de la red.

Inyección SQL: el acceso no autorizado a la base de datos podría dar lugar al robo o la manipulación de datos.

Interrupción del servicio: una explotación exitosa puede interrumpir las operaciones del Firewall, lo que afectaría la seguridad y la disponibilidad de la red.

Recomendaciones

Se recomienda que las organizaciones tomen medidas para reducir el riesgo de explotación y proteger su infraestructura critica:

Actualice su Firewall de Sophos a la última versión de Firmware.
Confirme que se hayan aplicado las revisiones automáticas siguiendo los pasos de verificación de Sophos.
Limite el acceso SSH a redes de confianza y deshabilite el acceso SSH desde la WAN para reducir la exposición.
Reconfigure las configuraciones de alta disponibilidad utilizando frases de contraseña seguras y aleatorias para evitar el acceso no autorizado
Audite las cuentas de usuario y los registros de acceso con regularidad para detectar cualquier actividad no autorizada.