Sophos Güvenlik Duvarı Ürünlerinde Kritik Güvenlik Açığı
Sophos, Sophos Firewall ürünlerinde uzaktan kod yürütmeye olanak tanıyabilecek ve belirli koşullar altında ayrıcalıklı sistem erişimi sağlayabilecek üç güvenlik açığını düzeltmek için acil yamalar yayımladı. Bu güvenlik açıklarından ikisi, kritik önem derecesine (CVSS skoru: 9.8) sahip ve şu şekilde sıralanıyor:
- CVE-2024-12727: E-posta koruma özelliğinde yer alan, SPX (Secure PDF eXchange) özelliğinin etkin olduğu ve güvenlik duvarının Yüksek Erişilebilirlik (HA) modunda çalıştığı belirli bir konfigürasyonda, uzaktan kod yürütmeye yol açabilecek bir SQL enjeksiyonu açığı.
- CVE-2024-12728: Yüksek Erişilebilirlik (HA) kümesi başlatma sırasında önerilen ve rastgele olmayan SSH giriş parolası nedeniyle zayıf kimlik bilgileri açığı. SSH etkinse, bu durum ayrıcalıklı erişime yol açabilir.
- CVE-2024-12729: Kullanıcı Portalı’nda kimliği doğrulanmış kullanıcıların uzaktan kod yürütme elde etmesine izin veren bir yetki sonrası kod enjeksiyonu açığı.
Güvenlik Açıklarının Etkisi ve Çözümleri
Sophos’a göre, CVE-2024-12727 sadece cihazların %0,05’ini etkilerken, CVE-2024-12728 cihazların %0,5’ini etkiliyor. Tüm güvenlik açıkları, Sophos Firewall sürüm 21.0 GA (21.0.0) ve önceki sürümleri etkiliyor. Sorunlar, aşağıdaki sürümlerde düzeltildi:
- CVE-2024-12727: v21 MR1 ve üzeri (v21 GA, v20 GA, v20 MR1, v20 MR2, v20 MR3, v19.5 MR3, v19.5 MR4, v19.0 MR2 için yamalar mevcut).
- CVE-2024-12728: v20 MR3, v21 MR1 ve üzeri (birçok önceki sürüm için yamalar mevcut).
- CVE-2024-12729: v21 MR1 ve üzeri (tüm önceki sürümler için yamalar mevcut).
Yamaların Doğrulanması
Kullanıcıların yamaların uygulanıp uygulanmadığını doğrulamak için şu adımları takip etmeleri öneriliyor:
- CVE-2024-12727: Sophos Firewall konsolunda “Device Management > Advanced Shell” başlatılarak şu komut çalıştırılmalı:
cat /conf/nest_hotfix_status
(Değer 320 veya üzeriyse yama uygulanmıştır.)
- CVE-2024-12728 ve CVE-2024-12729: “Device Console” üzerinden şu komut çalıştırılmalı:
system diagnostic show version-info
(Değer HF120424.1 veya daha yüksekse yama uygulanmıştır.)
Geçici Çözümler
Yama uygulanamıyorsa, Sophos şu geçici güvenlik önlemlerini öneriyor:
- SSH erişimini yalnızca fiziksel olarak ayrılmış HA bağlantısına sınırlamak.
- HA yapılandırmasını, yeterince uzun ve rastgele bir özel parola kullanarak yeniden yapılandırmak.
- WAN üzerinden SSH erişimini devre dışı bırakmak.
- Kullanıcı Portalı ve Webadmin erişimlerini WAN üzerinden açmamak.
Son Gelişmeler
Bu güvenlik açığı haberleri, ABD hükümetinin bir Çin vatandaşı olan Guan Tianfeng’i, Sophos güvenlik duvarlarındaki CVE-2020-12271 adlı bir sıfır gün güvenlik açığını kullanarak dünya çapında 81.000 cihazı ihlal etmekle suçlamasının hemen ardından geldi. Sophos’un hızlı müdahalesi, güvenlik açığı risklerini azaltmada önemli bir adım olsa da kullanıcıların sistemlerini güncel tutmaları ve gerekli önlemleri almaları büyük önem taşıyor.
Bu içeriği beğendiniz ya da yararlı bulduysanız paylaşmayı unutmayınız! Twitter ve Facebook Hesaplarımızdan Bizi Takip Edebilirsiniz.