کشف آسیب‌پذیری در Sophos

سه آسیب‌پذیری بحرانی با شناسه‌های CVE-2024-12727، CVE-2024-12728 و CVE-2024-12729 در فایروال‌های Sophos شناسایی شده‌ است.  این امکان را به مهاجمان می‌دهد بدون احراز هویت کد مخرب را اجرا کرده و سطح دسترسی خود را در سیستم افزایش دهند، و با بهره‌برداری از آن به کنترل کامل سیستم برسد.


آسیب‌پذیری با شناسه CVE-2024-12727

این آسیب‌پذیری با شدت 9.8 یک نقص SQL Injection، پیش از احراز هویت در قابلیت "Email Protection" فایروال‌های Sophos است که امکان دسترسی به پایگاه داده گزارش‌ها را فراهم می‌کند. در صورتی که فایروال در حالت High Availability (HA) و قابلیت Secure PDF eXchange (SPX) فعال باشد، مهاجم می‌تواند کد مورد نظر خود را از راه دور اجرا کند.
بر اساس بردار حمله CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H، این آسیب‌پذیری از طریق شبکه خارجی و به‌صورت از راه دور قابل بهره‌برداری است (AV:N)، پیچیدگی حمله پایین است، به این معنی که مهاجم می‌تواند به‌راحتی از آن بهره‌برداری کند و نیاز به شرایط خاصی ندارد (AC:L)، بهره‌برداری از این نقص امنیتی به هیچ حساب کاربری با سطح دسترسی خاص نیاز ندارد (PR:N) و بدون نیاز به تعامل کاربر قابل اجرا است (UI:N)، این آسیب‌پذیری محدود به سیستم هدف بوده و تأثیری بر سایر منابع ندارد (S:U)، در صورت بهره‌برداری موفق، مهاجم می‌تواند اطلاعات حساس را افشا کند (C:H)، داده‌ها را تغییر دهد (I:H) و دسترس‌پذیری سیستم را به‌طور کامل مختل کند (A:H).

آسیب پذیری با شناسه CVE-2024-12728

این آسیب‌پذیری CVE-2024-12728 با شدت 9.8 یک نقص امنیتی در مکانیزم اعتبارسنجی فایروال‌های Sophos است. که به مهاجمان اجازه می‌دهد از طریق پروتکل SSH و بدون نیاز به احراز هویت، به دسترسی از سطح بالای سیستم (Privilege Escalation) برسد.
براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن از طریق شبکه خارجی و  از راه دور امکان‌پذیر است (AV:N) به‌ راحتی قابل تکرار می باشد (AC:L)، مهاجم برای اجرای حمله به هیچ حساب کاربری یا سطح دسترسی خاصی نیاز ندارد (PR:N) و به تعامل با کاربر نیاز نیست (UI:N)، این آسیب‌پذیری محدود به سیستم هدف بوده و تأثیری بر سایر منابع دیگر ندارد (S:U)، در صورت بهره‌برداری موفق، مهاجم می‌تواند به داده‌های حساس دسترسی پیدا کند و هر سه ضلع امنیت با شدت بالا تحت تاثیر قرار می گیرند (C:H/I:H/A:H).

آسیب پذیری با شناسه CVE-2024-12729

این آسیب‌پذیری CVE-2024-12729 با شدت 8.8 یک نقص امنیتی در پورتال کاربری فایروال‌های Sophos است که به کاربران احراز هویت‌شده امکان اجرای کد از راه دور را می‌دهد.
براساس بردار حمله این آسیب‌پذیری CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H بهره‌برداری از آن از طریق شبکه خارجی و از راه دور امکان‌پذیر است (AV:N) و به راحتی قابل تکرار است و چندان به شرایط خاصی نیاز نیست (AC:L)، مهاجم برای انجام حمله نیاز به حساب کاربری با سطح دسترسی پایین می باشد (PR:N) وبه تعامل با کاربر نیاز ندارد (UI:N)، بهره برداری از آسیب پذیری مذکور برسایر منابع دیگر تاثیر نمی گذارد (S:U)، هر سه ضلع امنیت با شدت بالا تحت تاثیر قرار می گیرند (C:H/I:H/A:H).



 
محصولات تحت‌تاثیر و توصیه‌های امنیتی

منبع‌ خبر:

https://www.sophos.com/en-us/security-advisories/sophos-sa-20241219-sfos-rce