Sophos Firewall の深刻な脆弱性 CVE-2024-12727 などが FIX:ただちにパッチを!

CVE-2024-12727 and More: Sophos Issues Urgent Firewall Security Update

2024/12/19 SecurityOnline — Sophos が発表したのは、広く利用されるネットワーク・セキュリティ・ツール Sophos Firewall 製品に影響を及ぼす、3件の深刻な脆弱性の修正版である。これらの脆弱性 CVE-2024-12727/CVE-2024-12728/CVE-2024-12729 が悪用されると、リモート・コード実行や権限昇格などの重大なリスクがもたらされる。

CVE-2024-12727:認証前 SQL インジェクション (CVSS 9.8)

最も深刻な脆弱性 CVE-2024-12727 は、Sophos Firewall の電子メール保護機能における、認証を必要としない SQL インジェクションの欠陥である。この脆弱性の悪用に成功した攻撃者は、レポート・データベースへのアクセスを達成し、特定の条件下でリモート・コード実行の可能性を手にする。この条件に含まれるのは、Secure PDF eXchange (SPX) 機能の有効化と、High Availability (HA) モードでのファイアウォール動作である。

Sophos は、「この問題は、約 0.05% のデバイスに影響するものである。Sophos のバグ・バウンティ・プログラムを通じて外部のセキュリティ研究者により発見され、Sophos に開示された」と述べている。

CVE-2024-12728:安全が確保されない SSH パスフレーズ (CVSS 9.8)

脆弱性 CVE-2024-12728 は、HA 確立プロセス後に再利用される、ランダム性が不足する SSH ログイン・パスフレーズに関連するものだ。SSH が有効化されている場合には、この見落としにより、影響を受けるデバイスの特権システム・アカウントが公開される可能性が生じる。Sophos の推定は、約 0.5% のデバイスが危険にさらされるというものだ。

物理的に分離された専用の HA リンクだけに、SSH アクセスを制限することで、また、十分に長くランダムなカスタム・パスフレーズで HA を再コンフィグすることで、この問題に対処できる。

CVE-2024-12729:認証後のコード・インジェクション (CVSS 8.8)

3番目の脆弱性 CVE-2024-12729 の悪用に成功した認証済みユーザーは、そのユーザー・ポータルを経由して任意のコードを実行できる。この問題は、外部の研究者から Sophos に開示されたものだ。悪用の前提として認証が必要になるが、Sophos Firewall に依存している組織にとっては、大きなリスクになり得る。

修復と推奨事項

すでに Sophos は、これらの脆弱性を軽減する修正プログラムをリリースし、Sophos Firewall の問題に対処しているに。自動修正プログラムが有効化されているユーザーの場合には、一連の更新が自動的に適用されるため、ユーザー・サイドで行うべきことはない。その一方で、自動修正プログラムを使用していないユーザーは、手動による迅速な更新が推奨される。

脆弱性 CVE-2024-12727/CVE-2024-12728 に対する修正プログラムは、2024年11月/12月にリリースされ、その直後に CVE-2024-12729 の修正プログラムがリリースされている。Sophos が推奨するベスト・プラクティスは、ユーザー・ポータルおよび WebAdmin インターフェースへの WAN アクセスを無効化し、リモート管理に VPN/Sophos Central を使用することである。

ユーザー向けの緩和策のヒント

速やかな更新が不可能な組織向けに、Sophos は暫定的な回避策を提供している。

  • SSH アクセスの範囲を、専用の HA リンクだけに制限する。
  • HA コンフィグにおいては、長くてランダムなパスフレーズを使用する。
  • User Portal および WebAdmin インターフェイスへの WAN アクセスを無効化する。

なお、これまでのところ、上記の脆弱性の悪用は確認されていない。

Sophos は、「これらの脆弱性は深刻であるが、現時点において、悪用に関する情報は得ていない」と述べている。この声明により、ある程度の安心感が得られるが、ユーザー組織に対して推奨されるのは、更新の適用および緩和策の実施となる。

Sophos Firewall に存在する、3件の深刻な脆弱性が FIX しました。ご利用のチームは、ご確認ください。関連するポストとしては、2023/12/12 の「Sophos の脆弱性 CVE-2022-3236:EOL デバイスを狙う積極的な攻撃を観測」があります。よろしければ、Sophos で検索と併せて、ご参照ください。