Sophos declaró que encontró, y parchó, tres fallas en su producto de firewall
Las fallas permitieron la ejecución remota de código y la escalada de privilegios
Aquellos que no pueden aplicar el parche pueden usar una solución temporal
Sophos ha descubierto recientemente, y parchado, tres errores en su producto de Firewall, y dada la gravedad, ha instado a los usuarios a aplicar las correcciones lo antes posible. Aquellos que no pueden hacerlo se les aconseja aplicar al menos las soluciones temporales sugeridas.
Un aviso de seguridad de la compañía señala que las tres vulnerabilidades pueden ser abusadas para ejecución remota de código, acceso al sistema con privilegios y más. Dos de las fallas recibieron una puntuación de gravedad crítica (9.8), mientras que la tercera tuvo una gravedad alta (8.8).
Se mencionó que múltiples versiones del Firewall de Sophos estaban afectadas, aunque diferentes versiones parecen ser susceptibles a diferentes fallos. Aún así, la compañía insta a todos los usuarios a actualizar sus endpoints a la última versión y evitar ser blanco de ataques.
Solución temporal posible
La aplicación de parches también varía, dependiendo de la vulnerabilidad en cuestión. Para CVE-2024-12727 los usuarios deben lanzar la Gestión de Dispositivos, navegar hasta la Shell Avanzada desde la consola de Sophos Firewall, y ejecutar el comando “cat /conf/nest_hotfix_status”.
Para las otras dos fallas, los usuarios deben lanzar la Consola de Dispositivos desde la consola de Sophos Firewall y ejecutar el comando “system diagnostic show version-info”.
Los usuarios que no pueden aplicar el parche deben al menos aplicar la solución temporal sugerida, que incluye restringir el acceso SSH solo al enlace HA dedicado que está físicamente separado. Además, los usuarios deben reconfigurar el HA usando una frase personalizada suficientemente larga y aleatoria.
Por último, pueden desactivar el acceso WAN a través de SSH y asegurarse de que el Portal de Usuario y Webadmin no estén expuestos a WAN.
Se pueden encontrar más detalles sobre los errores, incluidos los CVE, en este enlace.
Los firewalls son objetivos principales en ciberataques porque actúan como los guardianes principales entre las redes internas y las amenazas externas, convirtiéndolos en puntos críticos de defensa para datos y sistemas sensibles.
Comprometer un firewall puede otorgar a los atacantes acceso privilegiado a una red, evitando los controles de seguridad y exponiendo todo el sistema a una mayor explotación. Además, los firewalls a menudo contienen datos de configuración valiosos y credenciales de acceso, que los atacantes pueden aprovechar para escalar sus ataques o mantener un acceso persistente.
Vía The Hacker News
También te puede interesar