Critical Sophos Firewall Flaws Allow Pre-Auth RCE
2025/07/22 gbhackers — Sophos が公表したのは、自社の Firewall 製品群に影響を及ぼす、複数の深刻なセキュリティ脆弱性の情報である。最も深刻な脆弱性は、未認証の攻撃者によるリモート・コード実行を許容し、影響を受けるシステムの完全な侵害にいたる恐れがある。Sophos がリリースしたのは、5件の脆弱性に対する修正プログラムである。それらの脆弱性のうちの2件は、深刻度 Critical と評価されているため、世界中のエンタープライズ・ネットワークに重大なリスクをもたらすという。
未認証での悪用が可能な脆弱性
最も懸念される脆弱性 CVE-2025-6704 は、Secure PDF eXchange (SPX) 機能における、任意のファイル書き込みの欠陥である。この脆弱性が悪用されると、未認証のリモート・コード実行につながるという。
| CVE ID | Severity | Description | Affected Versions |
| CVE-2025-6704 | Critical | Arbitrary file writing in SPX feature leading to pre-auth RCE | v21.5 GA and older |
| CVE-2025-7624 | Critical | SQL injection in legacy SMTP proxy leading to RCE | v21.5 GA and older |
| CVE-2025-7382 | High | Command injection in WebAdmin enabling pre-auth RCE on HA devices | v21.5 GA and older |
| CVE-2024-13974 | High | Business logic flaw in Up2Date component | v21.0 GA and older |
| CVE-2024-13973 | Medium | Post-auth SQL injection in WebAdmin | v21.0 GA and older |
この重大な脆弱性は、特定の SPX コンフィグが有効化された、High Availability (HA) モードで実行される Firewall に影響を及ぼすが、その比率は導入済みデバイスの約 0.05% に相当するという。
この脆弱性は、Sophos のバグ報奨金プログラムを通じて、外部のセキュリティ研究者により発見され、適切に公開された。
2つ目の危険な脆弱性 CVE-2025-7624 は、従来からの透過型 SMTP プロキシ・コンポーネントに存在する、SQL インジェクションの欠陥である。
メールの隔離ポリシーが有効化され、Sophos Firewall が v21.0 GA 以下のバージョンからアップグレードされている場合に、この深刻な脆弱性により、リモート・コード実行が引き起こされる可能性がある。この脆弱性が、実運用中のデバイスに影響を及ぼす可能性は、最大で 0.73% とされる。
追加の3件の脆弱性による影響の拡大
さらに、3つ目の脆弱性により、セキュリティ上の懸念が複雑化する。脆弱性 CVE-2025-7382 は、WebAdmin に存在するコマンド・インジェクションの欠陥である。管理者ユーザーに対して OTP 認証が有効化されている場合に、この脆弱性を悪用する、隣接かつ未認証の攻撃者により、HA 補助デバイス上でのコード実行の可能性が生じる。
4つ目の脆弱性 CVE-2024-13974 は、Up2Date コンポーネントにおけるビジネス・ロジックに起因する。この脆弱性を悪用する攻撃者は、Firewall の DNS 環境の制御を達成し、リモート・コード実行を可能にする。
5つ目の脆弱性 CVE-2024-13973 は、認証後の SQL インジェクションの欠陥であり、WebAdmin による任意のコード実行の可能性が生じる。
ホットフィックスとセキュリティ対応
自動化されたホットフィックスのインストール機能を有効化しているユーザーは、特段の対応を要しない。2025年1月 〜 2025年7月のデプロイメントにおける、Critical/High レベルの脆弱性について、すでにホット・フィックスによる修正を受け取っている。
それぞれのユーザー組織は、Sophos Firewall のホット・フィックス適用について確認すべきである。これらの脆弱性を悪用する事例について、現在のところ、Sophos は確認していないと報告している。
Sophos Firewall に複数の脆弱性が見つかりましたが、その中で、最も深刻なものは、未認証でのリモート・コード実行を許すものとのことです。Firewall の設定が関連するため、問題の発生の確率は低いとされますが、注意が必要だと、この記事は指摘しています。よろしければ、Sophos で検索も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.