-
09/04/2020
-
109
-
984 bài viết
Sophos vá loạt lỗ hổng tường lửa nghiêm trọng, có lỗi cho phép chiếm quyền từ xa
Sophos vừa công bố năm lỗ hổng bảo mật độc lập trong sản phẩm Sophos Firewall, trong đó có hai lỗ hổng nghiêm trọng cho phép thực thi mã từ xa mà không cần xác thực. Thông báo được phát hành ngày 21/7/2025, nhấn mạnh các lỗ hổng này ảnh hưởng đến các cấu hình nhất định, dù tỷ lệ thiết bị bị ảnh hưởng vẫn dưới 1% với hầu hết trường hợp.
Hai lỗ hổng nghiêm trọng nhất là CVE-2025-6704 và CVE-2025-7624, đều đạt mức độ nghiêm trọng “critical” và cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực. CVE-2025-6704 là lỗ hổng ghi tệp tùy ý trong tính năng Secure PDF eXchange (SPX), có thể bị khai thác để thực thi mã từ xa trong môi trường chưa xác thực khi cấu hình SPX cụ thể được kích hoạt cùng chế độ High Availability. Lỗ hổng này chỉ ảnh hưởng đến khoảng 0,05% thiết bị Sophos Firewall nhưng tiềm ẩn rủi ro cao. Trong khi đó, CVE-2025-7624 là lỗ hổng SQL injection trong thành phần proxy SMTP cũ, cho phép thực thi mã từ xa khi chính sách cách ly email được bật và hệ điều hành Sophos Firewall đã được nâng cấp từ các phiên bản trước 21.0 GA. Phạm vi ảnh hưởng của lỗ hổng này rộng hơn, lên tới 0,73% thiết bị đang triển khai.
Cả hai lỗ hổng đều được phát hiện và báo cáo có trách nhiệm bởi các nhà nghiên cứu bảo mật thông qua chương trình bug bounty của Sophos.
Ba lỗ hổng khác cũng được ghi nhận với mức độ nghiêm trọng từ cao đến trung bình.
Tổ chức đang vận hành Sophos Firewall từ phiên bản 19.0 MR2 trở lên nên kiểm tra trạng thái cài đặt hotfix theo hướng dẫn của hãng. Những hệ thống sử dụng phiên bản cũ hơn cần được nâng cấp để đảm bảo nhận được các biện pháp bảo vệ mới nhất trước nguy cơ khai thác.
Hai lỗ hổng nghiêm trọng nhất là CVE-2025-6704 và CVE-2025-7624, đều đạt mức độ nghiêm trọng “critical” và cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực. CVE-2025-6704 là lỗ hổng ghi tệp tùy ý trong tính năng Secure PDF eXchange (SPX), có thể bị khai thác để thực thi mã từ xa trong môi trường chưa xác thực khi cấu hình SPX cụ thể được kích hoạt cùng chế độ High Availability. Lỗ hổng này chỉ ảnh hưởng đến khoảng 0,05% thiết bị Sophos Firewall nhưng tiềm ẩn rủi ro cao. Trong khi đó, CVE-2025-7624 là lỗ hổng SQL injection trong thành phần proxy SMTP cũ, cho phép thực thi mã từ xa khi chính sách cách ly email được bật và hệ điều hành Sophos Firewall đã được nâng cấp từ các phiên bản trước 21.0 GA. Phạm vi ảnh hưởng của lỗ hổng này rộng hơn, lên tới 0,73% thiết bị đang triển khai.
Cả hai lỗ hổng đều được phát hiện và báo cáo có trách nhiệm bởi các nhà nghiên cứu bảo mật thông qua chương trình bug bounty của Sophos.
Ba lỗ hổng khác cũng được ghi nhận với mức độ nghiêm trọng từ cao đến trung bình.
- CVE-2025-7382 (mức cao): Lỗ hổng command injection trong giao diện WebAdmin, cho phép kẻ tấn công cận kề thực thi mã từ xa trên thiết bị phụ khi chế độ High Availability được bật và OTP được kích hoạt cho tài khoản quản trị. Lỗ hổng này ảnh hưởng khoảng 1% thiết bị Sophos Firewall.
- CVE-2024-13974 (mức cao): Lỗi logic nghiệp vụ trong thành phần Up2Date, cho phép kẻ tấn công kiểm soát môi trường DNS của firewall để thực thi mã từ xa. Lỗ hổng này do Trung tâm An ninh mạng Quốc gia Anh (NCSC) phát hiện và báo cáo.
- CVE-2024-13973 (mức trung bình): Lỗ hổng SQL injection sau xác thực trong WebAdmin, có thể bị lợi dụng để thực thi mã tùy ý. Đây cũng là lỗ hổng do NCSC phát hiện và tiết lộ.
Tổ chức đang vận hành Sophos Firewall từ phiên bản 19.0 MR2 trở lên nên kiểm tra trạng thái cài đặt hotfix theo hướng dẫn của hãng. Những hệ thống sử dụng phiên bản cũ hơn cần được nâng cấp để đảm bảo nhận được các biện pháp bảo vệ mới nhất trước nguy cơ khai thác.
Theo Cyber Press