Sophos, güvenlik açığına neden olan üç kritik zaafiyeti düzelten güncellemeleri yayınladı. Bu açıklar, uzaktan kod çalıştırma ve ayrıcalıklı sistem erişimine yol açabiliyor. CVE-2024-12727, CVE-2024-12728 ve CVE-2024-12729 numaralı bu açıklar, özellikle e-posta koruması, SSH bağlantıları ve kullanıcı portalındaki güvenlik zafiyetlerini içeriyor.
Zaafiyetlerin Detayları
- CVE-2024-12727: E-posta korumasındaki pre-auth SQL injection zafiyeti, Secure PDF eXchange (SPX) özelliği aktif ve HA modu açıkken uzaktan kod çalıştırılmasına yol açabilir. Bu zafiyet, %0.05 cihazı etkiliyor ve 17 Aralık 2024’te güncelleme yayınlandı.
- CVE-2024-12728: SSH login için önerilen zayıf, rastgele olmayan şifrelerin tekrar kullanılması sonucu ayrıcalıklı sistem erişimi mümkündür. Bu açık, %0.5 cihazı etkiliyor ve 26-27 Kasım 2024 tarihlerinde yayımlandı.
- CVE-2024-12729: Kullanıcı portalındaki post-auth kod enjeksiyonuna dayalı bu zafiyet, kimlik doğrulaması yapılmış kullanıcıların rastgele kod çalıştırmalarına izin verir. Bu açık, dışarıdan bildirildi ve 4-10 Aralık 2024 tarihlerinde düzeltildi.
Geçici Çözümler ve Güvenlik Önerileri
Sophos, etkilenen kullanıcılar için geçici çözümler sunuyor:
- CVE-2024-12728 için: SSH erişimi yalnızca özel HA bağlantılarına yönlendirilmelidir.
- CVE-2024-12729 için: Kullanıcı portalı ve WebAdmin, WAN’a kapatılmalıdır.
Hotfix’ler ve Güncelleme
Bu açıkları çözmek için, Sophos kullanıcıları ilgili hotfix’leri yüklemelidir:
- CVE-2024-12727 için:
v21 MR1ve sonrası. - CVE-2024-12728 için:
v20 MR3vev21 MR1ve sonrası. - CVE-2024-12729 için:
v21 MR1ve sonrası.
Uygulama ve Doğrulama
Hotfix’lerin doğru bir şekilde uygulandığından emin olmak için kullanıcılar, Sophos Firewall konsolundan aşağıdaki komutları çalıştırabilir:
- CVE-2024-12727 için:
cat /conf/nest_hotfix_status - CVE-2024-12728 ve CVE-2024-12729 için:
system diagnostic show version-info
About the Author
