Компания Sophos выпустила экстренные исправления для пяти критических и высокорисковых уязвимостей в своем межсетевом экране Sophos Firewall. Две из них получили максимальную оценку CVSS 9.8 и позволяют удаленное выполнение кода (RCE). Уязвимость CVE-2025-6704 связана с произвольной записью файлов в функции Secure PDF eXchange (SPX). Ее эксплуатация возможна без аутентификации (pre-auth RCE), но требует специфической конфигурации: включенный SPX и работа брандмауэра в режиме высокой доступности (High Availability, HA). Затронуто примерно 0,05% устройств.
Вторая критическая уязвимость, CVE-2025-7624 (CVSS 9.8), представляет собой SQL-инъекцию в устаревшем прозрачном (legacy) SMTP-прокси. Она также приводит к RCE. Для эксплуатации необходима активная политика карантина для электронной почты и обновление ОС SFOS с версии старше v21.0 GA. Уязвимость затрагивает около 0,73% устройств.
Высокорисковая уязвимость CVE-2025-7382 (CVSS 8.8) – это инъекция команд в компонент WebAdmin, способная привести к выполнению кода без аутентификации. Она специфична для вспомогательных (auxiliary) устройств в конфигурации HA и требует включенной OTP-аутентификации для администратора.
Также исправлены две другие уязвимости. CVE-2024-13974 (CVSS 8.1) – логическая уязвимость в компоненте Up2Date, позволяющая злоумышленнику, контролирующему DNS-среду брандмауэра, достичь RCE. CVE-2024-13973 (CVSS 6.8) – SQL-инъекция в WebAdmin после аутентификации (post-auth), потенциально ведущая к произвольному выполнению кода администратором. Обе обнаружены и сообщены Национальным центром кибербезопасности Великобритании (U.K. NCSC).
Затронуты версии: CVE-2024-13974 и CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) и старше; CVE-2025-6704, CVE-2025-7624 и CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) и старше.
Параллельно SonicWall предупредила о критической уязвимости CVE-2025-40599 (CVSS 9.1) в устройствах Secure Mobile Access (SMA) 100 Series (модели SMA 210, SMA 410, SMA 500v). Уязвимость в веб-интерфейсе управления позволяет удаленному злоумышленнику с привилегиями администратора загружать произвольные файлы для достижения RCE. Исправление доступно в версии 10.2.2.1-90sv.
Хотя на момент раскрытия эксплуатации не зафиксировано, риск высок из-за недавнего отчета Google Threat Intelligence Group (GTIG). В нем задокументировано, как угроза UNC6148 использовала полностью обновленные устройства SMA 100 для установки бэкдора OVERSTEP. Для виртуального продукта SMA 500v процедура обновления особенная: требуется резервное копирование OVA, экспорт конфигурации, полное удаление ВМ и связанных дисков/снимков, переустановка нового OVA через гипервизор и восстановление конфигурации.
Изображение носит иллюстративный характер
Вторая критическая уязвимость, CVE-2025-7624 (CVSS 9.8), представляет собой SQL-инъекцию в устаревшем прозрачном (legacy) SMTP-прокси. Она также приводит к RCE. Для эксплуатации необходима активная политика карантина для электронной почты и обновление ОС SFOS с версии старше v21.0 GA. Уязвимость затрагивает около 0,73% устройств.
Высокорисковая уязвимость CVE-2025-7382 (CVSS 8.8) – это инъекция команд в компонент WebAdmin, способная привести к выполнению кода без аутентификации. Она специфична для вспомогательных (auxiliary) устройств в конфигурации HA и требует включенной OTP-аутентификации для администратора.
Также исправлены две другие уязвимости. CVE-2024-13974 (CVSS 8.1) – логическая уязвимость в компоненте Up2Date, позволяющая злоумышленнику, контролирующему DNS-среду брандмауэра, достичь RCE. CVE-2024-13973 (CVSS 6.8) – SQL-инъекция в WebAdmin после аутентификации (post-auth), потенциально ведущая к произвольному выполнению кода администратором. Обе обнаружены и сообщены Национальным центром кибербезопасности Великобритании (U.K. NCSC).
Затронуты версии: CVE-2024-13974 и CVE-2024-13973 – Sophos Firewall v21.0 GA (21.0.0) и старше; CVE-2025-6704, CVE-2025-7624 и CVE-2025-7382 – Sophos Firewall v21.5 GA (21.5.0) и старше.
Параллельно SonicWall предупредила о критической уязвимости CVE-2025-40599 (CVSS 9.1) в устройствах Secure Mobile Access (SMA) 100 Series (модели SMA 210, SMA 410, SMA 500v). Уязвимость в веб-интерфейсе управления позволяет удаленному злоумышленнику с привилегиями администратора загружать произвольные файлы для достижения RCE. Исправление доступно в версии 10.2.2.1-90sv.
Хотя на момент раскрытия эксплуатации не зафиксировано, риск высок из-за недавнего отчета Google Threat Intelligence Group (GTIG). В нем задокументировано, как угроза UNC6148 использовала полностью обновленные устройства SMA 100 для установки бэкдора OVERSTEP. Для виртуального продукта SMA 500v процедура обновления особенная: требуется резервное копирование OVA, экспорт конфигурации, полное удаление ВМ и связанных дисков/снимков, переустановка нового OVA через гипервизор и восстановление конфигурации.
