Sophosは12月19日(英国時間)、「Resolved Multiple Vulnerabilities in Sophos Firewall (CVE-2024-12727, CVE-2024-12728, CVE-2024-12729)|Sophos」において、同社のファイアウォール製品「Sophos Firewall」に緊急の脆弱性が存在すると発表した。

対象の脆弱性を悪用されると、認証されていないリモートの攻撃者にコードを実行されたり、特権でSSHアクセスされたりする可能性がある。

  • Resolved Multiple Vulnerabilities in Sophos Firewall (CVE-2024-12727、CVE-2024-12728、CVE-2024-12729)|Sophos

    Resolved Multiple Vulnerabilities in Sophos Firewall (CVE-2024-12727, CVE-2024-12728, CVE-2024-12729)|Sophos

脆弱性に関する情報

脆弱性の情報(CVE)は次のとおり。

  • CVE-2024-12727 - メール保護機能に認証前SQLインジェクションの脆弱性。Secure PDF eXchange(SPX)の特定の設定が、高可用性(HA: High Availability)モードで実行されているファイアウォールと組み合わせて有効になっている場合、レポートデータベースへのアクセスが許可され、リモートコード実行(RCE: Remote Code Execution)につながる可能性がある(CVSSスコア: 9.8)
  • CVE-2024-12728 - 弱い認証情報の脆弱性。SSHを有効にしている場合、予測可能な認証情報で不正アクセスできる可能性がある(CVSSスコア: 9.8)
  • CVE-2024-12729 - ユーザーポータルに認証後コードインジェクションの脆弱性。認証された攻撃者は、リモートからコードを実行できる可能性がある(CVSSスコア: 8.8)

脆弱性が存在する製品

脆弱性が存在するとされる製品およびバージョンは次のとおり。

  • Sophos Firewall v21.0 GA (21.0.0)およびこれ以前のバージョン

脆弱性が修正された製品

脆弱性が修正された製品およびバージョンは次のとおり。

  • Sophos Firewall v21.0 MR1 (21.0.1)

なお、Sophosは緊急対応として次のバージョンへのホットフィックス(Hotfix)を発行している。

  • CVE-2024-12727 - v21 GA、v20 GA、v20 MR1、v20 MR2、v20 MR3、v19.5 MR3、v19.5 MR4、v19.0 MR2
  • CVE-2024-12728 - v21 GA、v20 GA、v20 MR1、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v20 MR2
  • CVE-2024-12729 - v21 GA、v20 GA、v20 MR1、v20 MR2、v19.5 GA、v19.5 MR1、v19.5 MR2、v19.5 MR3、v19.5 MR4、v19.0 MR2、v19.0 MR3、v20 MR3

デフォルト設定のSophos Firewallは「ホットフィックスの自動インストール」が有効になっており、通常は手動によるアップデートは必要ない。ホットフィックスが適用されているかどうかの確認方法は、「Sophos Firewall: Verify if the hotfixes for CVEs 2024-12727, 2024-12728, and 2024-12729 have been applied」にて解説されている。

利用中の製品が上記のホットフィックス対象バージョンに含まれていない場合は、速やかにアップグレードすることが推奨されている。アップグレードできない場合は、「Device access - Sophos Firewall」を参考に、SSH、ユーザーポータル、Webadminへのアクセス制限を設定することが望まれている。