Monster Connect | ช่องโหว่ร้ายแรงใน Sophos Firewall เสี่ยงต่อการโจมตีแบบสั่งรันโค้ดระยะไกล (RCE)

23 Dec

ช่องโหว่ร้ายแรงใน Sophos Firewall เสี่ยงต่อการโจมตีแบบสั่งรันโค้ดระยะไกล (RCE)

in Blog

Sophos ได้ออกคำเตือนเกี่ยวกับช่องโหว่ความปลอดภัยร้ายแรง 3 รายการในผลิตภัณฑ์ Sophos Firewall ได้แก่ CVE-2024-12727, CVE-2024-12728 และ CVE-2024-12729 ซึ่งอาจทำให้ผู้โจมตีสามารถสั่งรันโค้ดระยะไกลบนระบบที่ได้รับผลกระทบ

รายละเอียดช่องโหว่

1. CVE-2024-12727

ช่องโหว่นี้เป็นการฉีดคำสั่ง SQL (SQL Injection) ในฟีเจอร์การป้องกันอีเมล (Email Protection) ของ Sophos Firewall หากถูกโจมตีสำเร็จ ผู้โจมตีจะสามารถเข้าถึงฐานข้อมูลรายงาน และอาจสั่งรันโค้ดระยะไกลได้ภายใต้เงื่อนไขบางอย่าง เช่น การเปิดใช้งานฟีเจอร์ Secure PDF Exchange (SPX) และไฟร์วอลล์ที่ทำงานในโหมด High Availability (HA)

อุปกรณ์ที่ได้รับผลกระทบ: ประมาณ 0.05%
แพตช์: อัปเดตแก้ไขใน v21 MR1 และใหม่กว่า (ออกเมื่อ 17 ธันวาคม 2024)

2. CVE-2024-12728

ช่องโหว่นี้เกิดจากการใช้งานรหัสผ่าน SSH ซ้ำแบบไม่สุ่ม หลังจากการตั้งค่าโหมด HA อาจเปิดช่องให้เข้าถึงบัญชีระบบที่มีสิทธิ์สูงหากเปิดใช้งาน SSH

อุปกรณ์ที่ได้รับผลกระทบ: ประมาณ 0.5%
แพตช์: อัปเดตใน v20 MR3, v21 MR1 และใหม่กว่า (ออกเมื่อ 26-27 พฤศจิกายน 2024)

3. CVE-2024-12729

ช่องโหว่การฉีดโค้ด (Code Injection) หลังการยืนยันตัวตนใน User Portal อนุญาตให้ผู้ใช้ที่ได้รับการยืนยันสามารถสั่งรันโค้ดตามต้องการได้

แพตช์: อัปเดตใน v21 MR1 และใหม่กว่า (ออกเมื่อ 4-10 ธันวาคม 2024)

คำแนะนำและแนวทางป้องกัน

เปิดใช้งานการอัปเดตอัตโนมัติ: Sophos ได้ปล่อย hotfix ซึ่งจะติดตั้งโดยอัตโนมัติหากเปิดฟีเจอร์นี้
อัปเดตเฟิร์มแวร์ทันที: สำหรับอุปกรณ์ที่ไม่ได้เปิดการอัปเดตอัตโนมัติ ควรดำเนินการอัปเดตแบบแมนนวล

วิธีแก้ไขชั่วคราว

สำหรับ CVE-2024-12728: จำกัดการเข้าถึง SSH เฉพาะลิงก์ HA และใช้รหัสผ่านแบบสุ่มยาว
สำหรับ CVE-2024-12729: ปิดการเข้าถึง User Portal และ WebAdmin ผ่าน WAN ใช้ VPN หรือ Sophos Central แทน

แม้ว่าปัจจุบันจะยังไม่มีรายงานการโจมตีจากช่องโหว่เหล่านี้ Sophos ย้ำว่าการอัปเดตและปฏิบัติตามแนวทางแก้ไขเป็นสิ่งสำคัญเพื่อป้องกันการโจมตีในอนาคต