کشف سه آسیب‌پذیری جدید در فایروال‌ سوفوس

• آسیب‌پذیری بحرانی (CVE-2024-12727) SQL Injection با امتیاز CVSS: 9.8

این آسیب‌پذیری بحرانی از نوع SQL Injection است که پیش از احراز هویت در قابلیت حفاظت از ایمیل شناسایی شده است. مهاجمان می‌توانند در صورت فعال بودن تنظیمات Secure PDF eXchange (SPX) و حالت High Availability (HA)، به پایگاه داده دسترسی یافته و کدهای مخرب را از راه دور اجرا کنند. تنها ۰٫۰۵٪ از دستگاه‌ها تحت تأثیر این آسیب‌پذیری قرار دارند. در صورت غیرفعال بودن حالت HA یا عدم استفاده از ماژول Email Security، این ضعف امنیتی قابل بهره‌برداری نیست.

• آسیب‌پذیری بحرانی (CVE-2024-12728) ناشی از پسورد غیرتصادفی با امتیاز CVSS: 9.8

این آسیب‌پذیری بحرانی به دلیل استفاده از پسورد پیش‌فرض و غیرتصادفی برای دسترسی SSH در زمان راه‌اندازی کلاستر High Availability (HA) شناسایی شده است. در صورت فعال بودن SSH و باقی ماندن این پسورد پس از پیکربندی HA، مهاجمان می‌توانند به دستگاه با امتیازات بالا دسترسی پیدا کنند. حدود ۰٫۵٪ از دستگاه‌های سوفوس ممکن است تحت تأثیر این آسیب‌پذیری قرار گیرند. اگر حالت HA فعال نباشد، این ضعف امنیتی قابل بهره‌برداری نخواهد بود. این آسیب‌پذیری ضرورت تغییر پسوردهای پیش‌فرض و استفاده از روش‌های امن‌تر در پیکربندی سیستم‌ها را برجسته می‌سازد.

• آسیب‌پذیری Code Injection(CVE-2024-12729) با امتیاز CVSS: 8.8

این آسیب‌پذیری از نوع Code Injection است که پس از احراز هویت در بخش User Portal رخ می‌دهد. مهاجمان با دسترسی احراز هویت شده می‌توانند از این ضعف برای اجرای کدهای مخرب بهره‌برداری کنند. این آسیب‌پذیری به مهاجمان احراز هویت شده اجازه می‌دهد تا کنترل بیشتری بر سیستم داشته باشند و ممکن است برای اجرای حملات پیچیده‌تر مورد استفاده قرار گیرد. اهمیت مدیریت دسترسی کاربران و اعمال محدودیت‌های سخت‌گیرانه برای انواع سطوح دسترسی در این شرایط به وضوح قابل مشاهده است.

تمام نسخه‌های Sophos Firewall تا نسخه ۲۱٫۰ GA (21.0.0) و نسخه‌های قدیمی‌تر تحت تأثیر این آسیب‌پذیری‌ها قرار دارند.