Sophos dice que encontró y parchó tres fallas en su producto de firewall
Las fallas permitieron RCE y escalada de privilegios
Aquellos que no puedan aplicar el parche pueden usar una solución alternativa
Sophos ha descubierto recientemente, y parcheado, tres errores en su producto de Firewall, y dada la gravedad, ha instado a los usuarios a aplicar las correcciones lo antes posible. Se recomienda a aquellos que no puedan hacerlo que al menos apliquen las soluciones alternativas sugeridas.
Un aviso de seguridad de la empresa señala que las tres vulnerabilidades pueden ser abusadas para ejecución de código remoto, acceso privilegiado al sistema y más. Dos de las fallas recibieron una puntuación de gravedad crítica (9.8), mientras que la tercera fue de alta gravedad (8.8).
Se dijo que múltiples versiones del Firewall de Sophos estaban afectadas, aunque diferentes versiones parecen ser susceptibles a diferentes fallas. Aun así, la empresa insta a todos los usuarios a llevar sus puntos finales a la última versión y evitar ser blanco de ataques.
Solución alternativa posible
La aplicación de parches también difiere, dependiendo de la vulnerabilidad en cuestión. Para los usuarios de CVE-2024-12727, deben iniciar la Administración de Dispositivos, navegar hasta la Shell Avanzada desde la consola del Firewall de Sophos, y ejecutar el comando “cat /conf/nest_hotfix_status”.
Para las otras dos fallas, los usuarios deben iniciar la Consola de Dispositivos desde la consola del Firewall de Sophos, y ejecutar el comando “system diagnostic show version-info”.
Los usuarios que no pueden aplicar el parche deben al menos aplicar la solución alternativa sugerida, que incluye restringir el acceso SSH solo al enlace HA dedicado que está físicamente separado. Además, los usuarios deben reconfigurar HA utilizando una frase de paso personalizada suficientemente larga y aleatoria.
Finalmente, pueden deshabilitar el acceso WAN a través de SSH, y asegurarse de que el Portal de Usuario y el Webadmin no estén expuestos a WAN.
Se pueden encontrar más detalles sobre los errores, incluidos los CVEs, en este enlace.
Los firewalls son objetivos principales en ciberataques porque actúan como los guardianes principales entre las redes internas y las amenazas externas, convirtiéndolos en puntos críticos de defensa para datos y sistemas sensibles.
Comprometer un firewall puede otorgar a los atacantes acceso privilegiado a una red, evitando los controles de seguridad y exponiendo todo el sistema a una mayor explotación. Además, los firewalls a menudo contienen datos de configuración valiosos y credenciales de acceso, que los atacantes pueden aprovechar para escalar sus ataques o mantener acceso persistente.
Vía The Hacker News
También te puede interesar