Sophos修補兩項防火牆重大漏洞，若不處理就有可能遭到SQL注入攻擊、曝露系統特權管理員帳號

12月20日資安業者Sophos發布資安公告，公布防火牆漏洞CVE-2024-12727、CVE-2024-12728、CVE-2024-12729，並指出這些漏洞影響執行Sophos Firewall 21以前的版本，他們已推送相關修補程式，呼籲IT人員儘速檢查系統是否已套用相關更新。

這些漏洞分別涉及預先身分驗證SQL注入、弱密碼，以及後身分驗證程式碼注入，CVSS風險介於8.8至9.8。其中又以重大層級的CVE-2024-12727、CVE-2024-12728特別值得留意。

CVE-2024-12727存在於電子郵件防護功能，為預先身分驗證SQL注入弱點，若是遭到利用，攻擊者就有可能利用防火牆的回報資料庫遠端執行任意程式碼（RCE），CVSS風險為9.8分。

不過，這項漏洞必須在特定組態的條件下才會觸發，其中一個是啟用安全PDF交換（Secure PDF eXchange，SPX）功能，另一個則是防火牆以高可用性（HA）模式運作。而對於這項漏洞的影響範圍，他們評估約有0.05%防火牆曝險。

另一個被列為重大層級的漏洞為CVE-2024-12728，涉及高可用性叢集初始化過程當中，系統推薦用戶的非隨機SSH登入密碼短句（passphrase），而這個密碼短句在HA建置流程完成後仍然有效，使得防火牆在啟用SSH連線的狀態下，就有能可能曝露系統特權系統管理員帳號，CVSS風險為9.8。

值得留意的是，這項漏洞曝險範圍較廣，Sophos指出，他們估計約有0.5%防火牆將會受到影響。

這項資安公告發布前不久，才傳出因中國駭客4年前曾挖掘該廠牌防火牆零時差漏洞CVE-2020-12271，並用於全球大規模散布勒索軟體Ragnarok的事故，美國財政部今年12月上旬宣布對該組織及駭客實施制裁的情況，因此該廠牌防火牆用戶對於漏洞的修補，切勿掉以輕心。