Vulnerabilidades de seguridad múltiples que afectan los productos de firewall de Sophos, con dos que habilitan la ejecución de código remoto de preautenticación que podría permitir a los atacantes comprometer sistemas sin credenciales válidas.
Las vulnerabilidades, rastreadas como CVE-2025-6704, CVE-2025-7624, CVE-2025-7382, CVE-2024-13974 y CVE-2024-13973, impactan varias configuraciones de las versiones de Firewall de Sophos 21.5 GA y más antiguas, con hotfixes automáticos que ya están a la implementación de la mayor parte.
Control de llave
1. Cinco fallas graves en el firewall de Sophos, incluida la ejecución del código remoto previo al autor, han sido parcheados.
2. Las hotías automáticas protegen a la mayoría de los usuarios; No se necesita acción manual.
3. Sin explotación detectada, pero los usuarios deben confirmar que sus firewalls se actualizan.
Vulnerabilidades críticas de preautenticación
La vulnerabilidad más severa, CVE-2025-6704, representa una falla de escritura de archivos arbitraria en la función Secure PDF Exchange (SPX) que permite la ejecución del código remoto de la autorautenticación.
Esta vulnerabilidad crítica afecta específicamente a los dispositivos que se ejecutan en modo de alta disponibilidad (HA) con configuraciones SPX específicas habilitadas, lo que afectó aproximadamente el 0.05% de los dispositivos implementados.
Los investigadores de seguridad descubrieron este defecto a través del programa de recompensas de errores de Sophos y lo revelaron de manera responsable a la empresa.
Igualmente preocupante es CVE-2025-7624, una vulnerabilidad de inyección SQL en el proxy SMTP transparente heredado que puede conducir a la ejecución remota del código.
Esta falla crítica afecta a los sistemas con políticas de cuarentena activa para los dispositivos de correo electrónico e impactos actualizados de versiones mayores que SFOS 21.0 GA, lo que puede afectar hasta el 0.73% de los firewalls desplegados.
La vulnerabilidad demuestra cómo los componentes heredados pueden introducir riesgos de seguridad significativos en la infraestructura de red moderna.
Defectos de gravedad alta y media
Más allá de las vulnerabilidades críticas de preautenticación, CVE-2025-7382 presenta una vulnerabilidad de inyección de comandos en WebAdmin que permite a los atacantes adyacentes lograr la ejecución del código de autorautenticación en dispositivos auxiliares de HA.
Esta falla de alta severidad requiere la autenticación OTP para que los usuarios de administración estén habilitados y afecta aproximadamente al 1% de los dispositivos, destacando los riesgos en configuraciones de alta disponibilidad.
La vulnerabilidad CVE-2024-13974 explota fallas lógicas comerciales en el componente UP2 Date, lo que permite a los atacantes controlar el entorno DNS del firewall y lograr la ejecución de código remoto. Este problema de alta severidad fue descubierto y revelado por el Centro Nacional de Seguridad Cibernética (NCSC) del Reino Unido.
Además, CVE-2024-13973 representa una vulnerabilidad de inyección SQL posterior a la autorización en WebAdmin que podría permitir a los administradores ejecutar un código arbitrario.
CVE IDTITLE / DescripciónCVSS 3.1 ScoreSeverityCVE-2025-6704 ARBITRARIO Escritura de archivos en Secure PDF Exchange (SPX), ejecución de código remoto pre-autor posible9.8CriticalCVE-2025-7624SQSQL Inyección en la inyección transparente Legacy SMTP PROXY, PRE-AUTH REMITO POSIBLE 99.8CRITICAL CRITICALES-CRITICALES-20255555555555555 CONTRACIONES inyección en WebAdmin, ejecución de código previo a la autoridad adyacente en los dispositivos auxiliares de HA 8.8HIGHCVE-2024-13974 FULA Lógica de la cuenta en la ejecución de código remoto a través de la ejecución de código remoto a través de la ejecución del código de la web de los administradores de los administradores.
Mitigaciones
Sophos tiene implementado Una estrategia de despliegue de hotfijo múltiple, con vulnerabilidades críticas que reciben tratamiento prioritario.
Las organizaciones con instalación automática de Hotfix habilitan estos parches automáticamente, representando la configuración predeterminada.
Sophos no ha confirmado evidencia de explotación activa para ninguna de estas vulnerabilidades.
Los usuarios que ejecutan versiones compatibles como las variantes de 19.0 MR2, 20.0 MR2/MR3 y 21.0 GA deben verificar la aplicación Hotfix a través de la documentación de soporte de Sophos para garantizar una protección integral contra estos defectos de seguridad críticos.
Aumentar la detección, reducir la fatiga de alerta, acelerar la respuesta; Todo con una caja de arena interactiva construida para equipos de seguridad -> Prueba cualquiera.
