Sophos vừa công bố khắc phục ba lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến sản phẩm Sophos Firewall, công cụ tưởng lửa được sử dụng rộng rãi. Các lỗ hổng được gán mã CVE-2024-12727, CVE-2024-12728, và CVE-2024-12729, tiềm ẩn rủi ro lớn, bao gồm khả năng thực thi mã từ xa và leo thang đặc quyền.
CVE-2024-12727: Lỗ hổng pre-authentication SQL (CVSS 9.8)
Đây là lỗ hổng nghiêm trọng nhất, lỗi pre-authentication SQL nằm trong tính năng bảo vệ email của Sophos Firewall. Nếu bị khai thác, lỗ hổng này có thể cho phép kẻ tấn công truy cập vào cơ sở dữ liệu báo cáo và thực thi mã từ xa trong các điều kiện nhất định, chẳng hạn khi tính năng Secure PDF eXchange (SPX) được bật và tường lửa hoạt động ở chế độ High Availability (HA).
Sophos cho biết: “Vấn đề này, ảnh hưởng đến khoảng 0,05% thiết bị, được phát hiện và báo cáo tới Sophos bởi một nhà nghiên cứu bảo mật thông qua chương trình bug bounty của Sophos”.
CVE-2024-12728: Cụm mật khẩu SSH không an toàn (CVSS 9.8)
CVE-2024-12728 là lỗi liên quan đến việc sử dụng lại cụm mật khẩu đăng nhập SSH không ngẫu nhiên sau quá trình thiết lập chế độ HA. Điều này có thể làm lộ tài khoản hệ thống có đặc quyền trên các thiết bị bị ảnh hưởng nếu SSH được kích hoạt. Sophos ước tính khoảng 0,5% thiết bị có nguy cơ tồn tại lỗ hổng.
Để giải quyết, Sophos khuyến nghị khách hàng:
- Hạn chế truy cập SSH chỉ đến liên kết HA chuyên dụng đã được tách biệt về mặt vật lý.
- Hoặc cấu hình lại HA bằng cách sử dụng cụm mật khẩu tùy chỉnh đủ dài và ngẫu nhiên.
CVE-2024-12729: Lỗ hổng Post-auth Code Injection (CVSS 8.8)
Lỗ hổng thứ ba, CVE-2024-12729, cho phép người dùng đã xác thực thực thi mã tùy ý thông qua cổng User Portal. Lỗi này cũng được một nhà nghiên cứu bên ngoài báo cáo tới Sophos. Dù yêu cầu xác thực, lỗ hổng vẫn gây rủi ro đáng kể cho các tổ chức phụ thuộc vào Sophos Firewall để bảo vệ hệ thống.
y
Sophos đã phát hành các bản vá nóng (hotfixes) để giảm thiểu rủi ro từ các lỗ hổng này cho các phiên bản Sophos Firewall được hỗ trợ. Công ty khuyến cáo:
- Đối với khách hàng đã bật cài đặt tự động hotfix, không cần thực hiện hành động gì vì các bản cập nhật sẽ được áp dụng tự động.
- Những khách hàng không sử dụng tính năng này nên cập nhật thủ công ngay lập tức.
Các bản vá cho CVE-2024-12727 và CVE-2024-12728 đã được phát hành vào tháng 11 và tháng 12 năm 2024, trong khi bản vá cho CVE-2024-12729 được phát hành ngay sau đó.
Các biện pháp giảm thiểu tạm thời
Đối với các tổ chức chưa thể cập nhật ngay, Sophos đưa ra các biện pháp khắc phục tạm thời:
- Hạn chế truy cập SSH chỉ đến liên kết HA chuyên dụng.
- Sử dụng cụm mật khẩu dài và ngẫu nhiên để cấu hình HA.
- Tắt truy cập WAN vào giao diện User Portal và WebAdmin.
Chưa ghi nhận khai thác thực tế
Dù các lỗ hổng trên rất nghiêm trọng, Sophos xác nhận: “Hiện tại chưa ghi nhận các lỗ hổng này bị khai thác”. Dù vậy, điều này không làm giảm tính cấp bách của việc áp dụng các bản cập nhật và thực hiện các biện pháp giảm thiểu được khuyến nghị.
