Sophos fixed critical vulnerabilities in its Firewall product
Sophos Issues Hotfixes for Critical Firewall Flaws: Update to Prevent Exploitation
- 취약점 개요
- 영향을 받는 버전: Sophos Firewall v21.0 GA (21.0.0) 및 그 이전 버전
- 취약점 3건:
- CVE-2024-12727 (CVSS 점수 9.8)
- 사전 인증 SQL 인젝션 취약점
- 방화벽의 이메일 보호(주로 SPX 기능)와 HA 모드를 결합한 구성에서 원격 코드 실행 가능
- 전체 Sophos 장비 중 약 0.05%가 영향
- CVE-2024-12728 (CVSS 점수 9.8)
- HA 클러스터 구성 시 권장되는 SSH 로그인 암호가 무작위가 아니며, 설정 완료 후에도 활성 상태
- 약 0.5% 장비가 영향
- SSH가 활성화된 경우, 공격자가 루트 수준 접근 가능
- CVE-2024-12729 (CVSS 점수 8.8)
- 사용자 포털(User Portal)에서 발생하는 인증 후 코드 주입 취약점
- 인증된 사용자가 원격에서 악성 코드를 실행 가능
- CVE-2024-12727 (CVSS 점수 9.8)
- 주요 영향
- CVE-2024-12727: SQL 인젝션을 통한 원격 코드 실행
- CVE-2024-12728: 약한 SSH 암호로 인한 권한 계정 노출 위험
- CVE-2024-12729: 인증 후 공격자가 추가 권한 상승 가능
- 패치 버전 및 대응
- Sophos Firewall 21 MR1(21.0.1) 이상 버전에서 취약점 해결
- (CVE-2024-12727의 경우) v21 GA 이하 버전에 대해 핫픽스 제공
- (CVE-2024-12728, CVE-2024-12729의 경우) v20, v19.5 등 이전 지원 버전에 대해서도 핫픽스 제공
- 핫픽스 적용 상태 확인
- CVE-2024-12727: 방화벽 콘솔 > Advanced Shell →
cat /conf/nest_hotfix_status명령 결과 320 이상이면 핫픽스 적용됨 - CVE-2024-12728 & CVE-2024-12729: 방화벽 콘솔 > Device Console →
system diagnostic show version-info명령 결과HF120424.1이상이면 핫픽스 적용됨
- CVE-2024-12727: 방화벽 콘솔 > Advanced Shell →
- Sophos Firewall 21 MR1(21.0.1) 이상 버전에서 취약점 해결
- 임시 조치 및 권고 사항
- SSH 접근 제한
- HA 연결용으로만 물리적 분리하고, WAN에서 SSH 비활성화 권장
- HA 구성 시 무작위·길이가 충분한 암호 사용
- 사용자 포털(User Portal) 및 웹 관리(Webadmin)도 WAN 공개 비활성화 권장
- 패치 전까지는 가능한 한 신속히 핫픽스 적용 혹은 최신 버전 업그레이드
- SSH 접근 제한
- 결론
- Sophos Firewall의 3가지 치명적 취약점은 외부 공격자에게 원격 코드 실행, SSH 루트권한 노출 등 심각한 보안 위협 초래
- 핫픽스 또는 최신 패치 버전으로 즉시 업그레이드하고, WAN으로 노출된 SSH/포털 접속을 제한해 피해를 최소화해야 함
- 조직은 보안 로그 모니터링과 정기 점검을 통해 추가 위협 가능성을 사전에 탐지·대응 권장
'Kant's IT > Vulnerability' 카테고리의 다른 글
| CISA, Adobe ColdFusion 및 Windows 취약점 실제 악용 경고 (0) | 2025.01.01 |
|---|---|
| Fortinet Wireless LAN Manager( FortiWLM )의 치명적 취약점 패치 (0) | 2025.01.01 |
| Next.js 인증 우회 취약점: CVE-2024-51479 (0) | 2025.01.01 |
| OpenWrt, 치명적 취약점으로 악성 펌웨어 배포 위험 (0) | 2025.01.01 |
| Hitachi 인증 우회 취약점으로 원격 시스템 해킹 가능 (0) | 2025.01.01 |