CVE-2024-12727

شرکت سوفوس (Sophos) نوزدهم دسامبر ۲۰۲۴، سه آسیب ‌پذیری بحرانی و مستقل را در محصول فایروال خود پچ کرد. این سه آسیب پذیری که با شناسه‌های CVE-2024-12727، CVE-2024-12728 و CVE-2024-12729 دنبال می‌شوند، هکرهای احراز هویت نشده از راه دور را قادر می‌سازند تا حملات SQL injection، اجرای کد از راه دور و افزایش سطح دسترسی SSH به دستگاه‌ها را به انجام رسانند.

جزئیات آسیب پذیری‌ها

جزئیات این سه آسیب پذیری به شرح زیر است:

• CVE-2024-12727 (بحرانی): یک آسیب پذیری SQL injection پیش از احراز هویت (pre-auth) در ویژگی حفاظت از ایمیل است. چنانچه یک پیکربندی خاص از Secure PDF eXchange (SPX) در ترکیب با حالت High Availability (HA)  فعال شود، امکان دسترسی به پایگاه داده گزارش‌ها را فراهم می‌آورد که به طور بالقوه منجر به اجرای کد از راه دور (RCE) می‌شود. این آسیب پذیری حدود ۰.۰۵٪ از دستگاه‌های فایروال با پیکربندی خاص مورد نیاز را برای سوء استفاده تحت تأثیر قرار می‌دهد.
• CVE-2024-12728 (بحرانی): این آسیب پذیری مربوط به پسورد SSH پیشنهادی و غیرتصادفی برای راه اندازی کلاستر HA است که پس از تکمیل فرآیند و فعال سازی HA همچنان فعال باقی می‌ماند. سیستم‌هایی که SSH در آنها فعال است، این باگ به دلیل قابل پیش بینی بودن داده‌های لاگین در برابر دسترسی غیرمجاز قابل اکسپلویت است. هکرها می‌توانند با سوء استفاده از این آسیب پذیری، دسترسی با سطح بالا را بدست آورند. CVE-2024-12728 حدود ۰.۵٪ از دستگاه‌های فایروال شرکت سوفوس را تحت تأثیر قرار می‌دهد.
• CVE-2024-12729 (شدت بالا): این آسیب ‌پذیری یک نقص تزریق کد (code injection) پس از احراز هویت (post-auth) در پورتال کاربری می‌باشد که به کاربران احراز هویت شده امکان اجرای کد از راه دور را می‌دهد. این آسیب پذیری توسط یک محقق امنیتی از طریق برنامه باگ بانتی کشف و به طور مسئولانه به  Sophos گزارش شده است.

محصولات آسیب پذیر و پچ‌ها

این آسیب ‌پذیری‌ها، نسخه 21.0 GA (21.0.0) و قدیمی‌تر فایروال Sophos را تحت تأثیر قرار می‌دهند. Sophos  برای رفع این باگ‌ها، به‌روزرسانی‌هایی را منتشر کرده است. کاربرانی که ویژگی “اجازه نصب خودکار Hotfix (هات‌فیکس‌)ها” را بصورت فعال دارند (به‌طور پیش‌فرض فعال است)، نیازی به انجام اقدام اضافی ندارند. با این حال، توصیه می‌شود اطمینان حاصل کنید که فایروال شما به آخرین نسخه به‌روزرسانی شده است. آپدیت‌ها نیز از طریق به‌روزرسانی فریمور در دسترس می‌باشند.

• Hotfixها و آپدیت‌ها از طریق نسخه‌ها و تاریخ‌های مختلف به شرح زیر موجود می‌باشند:
  HotfixهایCVE-2024-12727 از 17 دسامبر برای نسخه‌های 21 GA، v20 GA، v20 MR1، v20 MR2، v20 MR3، 5 MR3، v19.5 MR4، v19.0 MR2  در دسترس هستند. آپدیت‌ها نیز در نسخه V21 MR1 و جدیدتر معرفی شده است.
• Hotfixآسیب پذیری CVE-2024-12728بین 26 و 27 نوامبر برای نسخه‌های 21GA، v20 GA، v20 MR1، 5 GA، v19.5 MR1، v19.5 MR2، v19.5 MR3، v19.5 MR4، v19  منتشر شد. آپدیت‌ آن نیز در نسخه‌های V20 MR3 ، V21 MR1 و جدیدتر گنجانده شده است.
• Hotfixآسیب پذیری CVE-2024-12729 هم بین 4 و 10 دسامبر برای نسخه‌های v21 GA، v20 GA، v20 MR1، v20 MR2، 5 GA، v19.5 MR1، v19.5 MR2، v19.5 MR3، v19منتشر شد. آپدیت‌های آن نیز در نسخه 21 MR1 و جدیدتر موجود می‌باشد.

Hotfixهای فایروال Sophos به‌طور پیش‌فرض نصب می‌شوند اما می‌توانید دستورالعمل‌هایی در مورد نحوه اعمال آن‌ها پیدا کنید و با مراجعه به KBA-000010084  تأیید نمایید که آیا با موفقیت نصب شده‌اند یا خیر.

Sophos همچنین راهکار‌هایی را به منظور کاهش خطرات مرتبط با CVE-2024-12728 و CVE-2024-12729  برای کسانی که نمی‌توانند Hotfix را نصب و آپدیت‌ها را اعمال کنند، پیشنهاد کرده است.

توصیه امنیتی

برای کاهش خطرات مرتبط با آسیب پذیری CVE-2024-12728، اطمینان حاصل کنید که دسترسی SSH فقط به لینک اختصاصی  HAمحدود شده و از پسوردهای مناسب، طولانی و تصادفی برای پیکربندی HA استفاده کنید.

Sophos توصیه می‌کند با استفاده از بهترین شیوه‌های دسترسی به دستگاه، دسترسی WAN به پورتال کاربر و WebAdmin را غیرفعال کنید و بجای آن از VPN و یا Sophos Central برای دسترسی و مدیریت از راه دور استفاده نمایید. غیرفعال سازی SSH از طریق اینترفیس WANنیز یکی از تدابیر مهم می‌باشد.

سوفوس اطمینان داده است که در حال حاضر هیچ شواهدی مبنی بر سوءاستفاده از این آسیب‌پذیری‌ها مشاهده نشده است.

منابع