Vulnerabilidades críticas de Sophos permiten a ciber atacantes ejecutar código remoto y malware

En diciembre de 2024, la Oficina Federal de Investigaciones (FBI) de EE. UU. informo sobre el ataque de un hacker chino que exploto un cero Day en 81.000 firewalls de Sophos.

En una serie de informes publicados a finales de octubre de 2024 bajo el nombre de Pacific Rim, Sophos reveló que en abril de 2020 había recibido un informe de recompensas por errores «simultáneamente muy útil y sospechoso» sobre la falla por parte de investigadores asociados con el Instituto de Investigación Double Helix de Sichuan Silence, un día después de lo cual fue explotado en ataques del mundo real para robar datos confidenciales utilizando el troyano Asnarök. incluyendo nombres de usuario y contraseñas.

En 2022 la empresa Sophos recibió otro informe de un investigador anónimo con sede en China que detallaba dos fallos distintos: CVE-2022-1040  (puntuación CVSS: 9,8), un problema crítico de omisión de autenticación en los firewalls de Sophos que permite a un atacante remoto ejecutar código arbitrario, y CVE-2022-1292 (puntuación CVSS: 9,8), un error de inyección de comandos en OpenSSL. La explotación en la naturaleza de CVE-2022-1040 se ha vinculado a dos grupos de actividad diferentes rastreados como Personal Panda y TStark.

«Guan Tianfeng es buscado por su presunto papel en la conspiración para acceder a los firewalls de Sophos sin autorización, causarles daños, recuperar y exfiltrar datos tanto de los firewalls como de las computadoras detrás de estos firewalls», dijo la Oficina Federal de Investigaciones (FBI) de EE. UU. «El exploit se utilizó para infiltrarse en aproximadamente 81.000 firewalls».

La vulnerabilidad de día cero en cuestión es CVE-2020-12271 (puntuación CVSS: 9,8), un grave fallo de inyección SQL que podría ser explotado por un actor malicioso para lograr la ejecución remota de código en firewalls de Sophos susceptibles.

«Guan y sus cómplices diseñaron el malware para robar información de los firewalls», dijo el Departamento de Justicia de Estados Unidos (DoJ). «Para ocultar mejor su actividad, Guan y sus cómplices registraron y utilizaron dominios diseñados para parecer que estaban controlados por Sophos, como sophosfirewallupdate[.]com.»

Nuevas vulnerabilidades criticas de Sophos reportadas en diciembre 2024

Estas vulnerabilidades podrían permitir a los atacantes ejecutar código remoto en un número de sistemas que están configurados de una manera específica, como se detalla en el Aviso de seguridad.

Multiple Vulnerabilities in Sophos Firewall

Las vulnerabilidades identificadas como CVE-2024-12727, CVE-2024-12728 y CVE-2024-12729, plantean riesgos potenciales para las organizaciones que utilizan Sophos Firewall en condiciones muy específicas.

CVE-2024-12727 es una vulnerabilidad de inyección SQL de autenticación previa en la función de protección de correo electrónico de Sophos Firewall. Si se explota, podría conceder a los atacantes acceso a la base de datos de informes y permitir la ejecución remota de código en condiciones específicas, como cuando la función Secure PDF Exchange (SPX) está habilitada y el firewall funciona en modo de alta disponibilidad (HA). El 17 de diciembre de 2024 se publicaron revisiones para varias versiones, con correcciones incluidas en v21 MR1 y posteriores.

Este problema afecta aproximadamente al 0,05% de los dispositivos y fue revelado de manera responsable por un investigador de seguridad externo a través del programa de recompensas por errores de Sophos.

CVE-2024-12728: Esta vulnerabilidad implica la reutilización de una frase de contraseña de inicio de sesión SSH sugerida y no aleatoria después del proceso de establecimiento de HA, lo que podría exponer cuentas del sistema con privilegios si SSH está habilitado. Afecta a aproximadamente el 0,5% de los dispositivos y se descubrió durante las pruebas de seguridad internas de Sophos. Las revisiones se publicaron el 26 y 27 de noviembre de 2024, con correcciones incluidas en v20 MR3, v21 MR1 y versiones posteriores.

CVE-2024-12729: Una vulnerabilidad de inyección de código posterior a la autenticación en el Portal de usuario permite a los usuarios autenticados ejecutar código arbitrario. Un investigador externo también reveló esto responsablemente. Las revisiones se publicaron el 4, 5 y 10 de diciembre de 2024, con correcciones incluidas en v21 MR1 y versiones posteriores.

Sophos ha lanzado revisiones para estas vulnerabilidades, que se aplican automáticamente a los dispositivos con la función «Permitir la instalación automática de revisiones» habilitada. Para aquellos que no utilizan esta función, son necesarias las actualizaciones manuales:

Para las organizaciones que no pueden actualizar inmediatamente, Sophos proporciona soluciones provisionales:

  • Para CVE-2024-12728: restrinja el acceso SSH a los enlaces de alta disponibilidad dedicados y utilice frases de contraseña largas y aleatorias para la configuración de alta disponibilidad.
  • Para CVE-2024-12729: Deshabilite el acceso WAN a las interfaces User Portal y WebAdmin, utilizando VPN o Sophos Central para la gestión remota.

Sophos no ha observado que estas vulnerabilidades se exploten en la naturaleza; Sin embargo, la compañía enfatiza la importancia de aplicar actualizaciones y seguir las mitigaciones recomendadas para prevenir posibles ataques futuros.

Vulnerabilidad en Sophos Intercept X

LPE vulnerability in Sophos Intercept X for Windows

Sophos ha identificado una vulnerabilidad, de severidad alta, de escalada de privilegios locales en su software Intercept X para Windows, afectando a versiones hasta la 2024.2.0 con Central Device Encryption. Esta vulnerabilidad permite a un atacante con privilegios bajos realizar modificaciones en archivos del sistema, lo que podría resultar en la ejecución de código arbitrario con privilegios elevados. El impacto potencial incluye el compromiso total del sistema afectado, facilitando la instalación de programas maliciosos, la creación de cuentas backdoor y la proliferación de malware en la red.

Recursos afectados

  • Sophos Intercept X para Windows

Análisis técnico

  • CVE-2024-8885: Vulnerabilidad de escalada de privilegios locales en Sophos Intercept X para Windows con Central Device Encryption 2024.2.0 y versiones anteriores que permite la escritura de archivos arbitrarios.
  • CWE-1104
  • CWE-502
  • CVSS: 8.8
  • Vector CVSS: CVSS:3.1/AV:L/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H
    • Vector de ataque: Local
    • Complejidad: Baja
    • Privilegios requeridos: Bajos
    • Interacción del usuario: Ninguna
    • Alcance: Con cambios
    • Confidencialidad: Alta
    • Integridad: Alta
    • Disponibilidad: Alta
  • Explotación: No detectada

Mitigación / Solución

Sophos recomienda asegurar que está utilizando versiones compatibles de Sophos Intercept X para Windows para mitigar la vulnerabilidad de escalada de privilegios locales (CVE-2024-8885). La solución está incluida en la versión de actualización de ‘Device Encryption’ 2024.2.1.6 y versiones superiores. Los clientes que utilizan paquetes de soporte de Término Fijo (FTS) o Término Largo (LTS) deben actualizar a las versiones corregidas para recibir esta solución. No se requiere ninguna acción para los clientes que utilizan la política de actualización predeterminada.

Según las tendencias de ciberseguridad para 2025, la creciente sofisticación de los ciberataques exige que las organizaciones implementen acciones permanentes, organizadas y colaborativas para enfrentar nuevas amenazas. Adoptar diversas tecnologías de software de ciberseguridad junto con proveedores especializados, soporte y capacitación es una estrategia eficaz para minimizar los riesgos y prevenir ser victima de ataques informáticos.


Recibe un Diagnóstico Sin Costo del estado de seguridad de tu aplicación o sitio web dando clic en el siguiente enlace: