Podatność w Sophos Firewall polega na stosowaniu słabych domyślnych danych uwierzytelniających, które mogą umożliwić nieautoryzowany dostęp do systemu z uprawnieniami administracyjnymi przez SSH. Krytyczny poziom CVSS 9.8 wynika z braku wymagań co do uwierzytelnienia, sieci jako wektora ataku oraz pełnego wpływu na poufność, integralność i dostępność systemu.
▸ Pokaż oryginał (EN)
A weak credentials vulnerability potentially allows privileged system access via SSH to Sophos Firewall older than version 20.0 MR3 (20.0.3).
Podatność sklasyfikowana jako CWE-1391 (użycie słabych danych uwierzytelniających) oznacza, że Sophos Firewall w wersjach starszych niż 20.0 MR3 posiada przewidywalne lub domyślne dane logowania dla usługi SSH. Atakujący zdalnie, bez żadnego wcześniejszego uwierzytelnienia, może wykorzystać te słabe dane uwierzytelniające do zalogowania się przez SSH. Po pomyślnym uwierzytelnieniu uzyskuje uprzywilejowany dostęp do systemu operacyjnego urządzenia.
Atakujący może uzyskać pełny, uprzywilejowany dostęp do systemu Sophos Firewall, co umożliwia odczyt poufnej konfiguracji, modyfikację reguł firewall, przejęcie kontroli nad urządzeniem sieciowym oraz potencjalnie dalszy lateral movement w infrastrukturze chronionej przez urządzenie.
Należy zaktualizować Sophos Firewall do wersji 20.0 MR3 (20.0.3) lub nowszej. Jako obejście tymczasowe zaleca się ograniczenie dostępu SSH do urządzenia wyłącznie do zaufanych adresów IP oraz zmianę domyślnych danych uwierzytelniających. Szczegóły dostępne w adwizoriach producenta: https://www.sophos.com/en-us/security-advisories/sophos-sa-20241219-sfos-rce
Sophos Firewall Firmware oraz Sophos Firewall w wersjach starszych niż 20.0 MR3 (20.0.3)
Podatność opublikowana przez producenta 2024-12-19 w ramach adwizoriów bezpieczeństwa Sophos. Mimo że CVE nie figuruje w katalogu CISA KEV, krytyczny wynik CVSS 9.8 i brak wymagań uwierzytelnienia przy dostępie przez SSH do urządzenia brzegowego uzasadniają pilne wdrożenie patcha.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:HSophos Firewall
HWSophoswszystkie wersjeSophos Firewall Firmware
OSSophos< 20.0.3
Powiązane podatności
A code injection vulnerability in the User Portal and Webadmin allows a remote attacker to execute code in Sop...
Sophos Firewall SPX – pre-auth RCE przez zapis dowolnych plików
SQL Injection w Sophos Firewall SMTP Proxy prowadzące do RCE
Pre-auth SQL injection w Sophos Firewall umożliwiający RCE
A business logic vulnerability in the Up2Date component of Sophos Firewall older than version 21.0 MR1 (20.0.1...