{"id":4036,"date":"2025-01-17T12:07:31","date_gmt":"2025-01-17T17:07:31","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=4036"},"modified":"2025-01-17T12:10:18","modified_gmt":"2025-01-17T17:10:18","slug":"vulnerabilidades-criticas-de-sophos-permiten-a-ciber-atacantes-ejecutar-codigo-remoto-y-malware","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/ciberseguridad\/vulnerabilidades-criticas-de-sophos-permiten-a-ciber-atacantes-ejecutar-codigo-remoto-y-malware\/","title":{"rendered":"Vulnerabilidades cr\u00edticas de Sophos permiten a ciber atacantes ejecutar c\u00f3digo remoto y malware"},"content":{"rendered":"\n

En diciembre de 2024, la Oficina Federal de Investigaciones (FBI) de EE. UU. informo sobre el ataque de un hacker chino que exploto un cero Day en 81.000 firewalls de Sophos<\/strong>. <\/p>\n\n\n\n

En una serie de informes publicados a finales de octubre de 2024 bajo el nombre de\u00a0Pacific Rim<\/a>, Sophos revel\u00f3 que en abril de 2020 hab\u00eda recibido un informe de recompensas por errores \u00absimult\u00e1neamente muy \u00fatil y sospechoso\u00bb sobre la falla por parte de investigadores asociados con el Instituto de Investigaci\u00f3n Double Helix de Sichuan Silence, un d\u00eda despu\u00e9s de lo cual fue explotado en ataques del mundo real para\u00a0robar datos confidenciales<\/a>\u00a0utilizando el troyano Asnar\u00f6k. incluyendo nombres de usuario y contrase\u00f1as.<\/p>\n\n\n\n

En 2022 la empresa Sophos recibi\u00f3 otro informe de un investigador an\u00f3nimo con sede en China que detallaba dos fallos distintos:\u00a0CVE-2022-1040 <\/a>\u00a0(puntuaci\u00f3n CVSS: 9,8), un problema cr\u00edtico de omisi\u00f3n de autenticaci\u00f3n en los firewalls de Sophos que permite a un atacante remoto ejecutar c\u00f3digo arbitrario, y\u00a0CVE-2022-1292<\/a>\u00a0(puntuaci\u00f3n CVSS: 9,8), un error de inyecci\u00f3n de comandos en OpenSSL. La explotaci\u00f3n en la naturaleza de CVE-2022-1040 se ha vinculado a dos grupos de actividad diferentes rastreados como\u00a0Personal Panda<\/a>\u00a0y TStark.<\/p>\n\n\n\n

\u00abGuan Tianfeng es buscado por su presunto papel en la conspiraci\u00f3n para acceder a los firewalls de Sophos sin autorizaci\u00f3n, causarles da\u00f1os, recuperar y exfiltrar datos tanto de los firewalls como de las computadoras detr\u00e1s de estos firewalls\u00bb,\u00a0dijo<\/a>\u00a0la Oficina Federal de Investigaciones (FBI) de EE. UU. \u00abEl exploit se utiliz\u00f3 para infiltrarse en aproximadamente 81.000 firewalls\u00bb.<\/p>\n\n\n\n

\"\"<\/a><\/figure>\n\n\n\n

La vulnerabilidad de d\u00eda cero en cuesti\u00f3n es\u00a0CVE-2020-12271<\/a>\u00a0(puntuaci\u00f3n CVSS: 9,8), un grave fallo de inyecci\u00f3n SQL que podr\u00eda ser explotado por un actor malicioso para lograr la ejecuci\u00f3n remota de c\u00f3digo en firewalls de Sophos susceptibles.<\/p>\n\n\n\n

\u00abGuan y sus c\u00f3mplices dise\u00f1aron el malware para robar informaci\u00f3n de los firewalls\u00bb,\u00a0dijo<\/a>\u00a0el Departamento de Justicia de Estados Unidos (DoJ). \u00abPara ocultar mejor su actividad, Guan y sus c\u00f3mplices registraron y utilizaron dominios dise\u00f1ados para parecer que estaban controlados por Sophos, como sophosfirewallupdate[.]com.\u00bb<\/p>\n\n\n\n

Nuevas vulnerabilidades criticas de Sophos reportadas en diciembre 2024<\/h3>\n\n\n\n

Estas vulnerabilidades podr\u00edan permitir a los atacantes ejecutar c\u00f3digo remoto en un n\u00famero de sistemas que est\u00e1n configurados de una manera espec\u00edfica, como se detalla en el Aviso de seguridad.<\/p>\n\n\n\n

\"\"<\/a>
Multiple Vulnerabilities in Sophos Firewall <\/a><\/figcaption><\/figure>\n\n\n\n

Las vulnerabilidades identificadas como CVE-2024-12727, CVE-2024-12728 y CVE-2024-12729<\/strong>, plantean riesgos potenciales para las organizaciones que utilizan Sophos Firewall en condiciones muy espec\u00edficas.<\/p>\n\n\n\n

CVE-2024-12727<\/strong>\u00a0es una vulnerabilidad de\u00a0inyecci\u00f3n SQL<\/strong>\u00a0de autenticaci\u00f3n previa en la funci\u00f3n de protecci\u00f3n de correo electr\u00f3nico de Sophos Firewall. Si se explota, podr\u00eda conceder a los atacantes acceso a la base de datos de informes y permitir la ejecuci\u00f3n remota de c\u00f3digo en condiciones espec\u00edficas, como cuando la funci\u00f3n Secure PDF Exchange (SPX) est\u00e1 habilitada y el firewall funciona en modo de alta disponibilidad (HA). El 17 de diciembre de 2024 se publicaron revisiones para varias versiones, con correcciones incluidas en v21 MR1 y posteriores.<\/p>\n\n\n\n

Este problema afecta aproximadamente al 0,05% de los dispositivos y fue revelado de manera responsable por un investigador de seguridad externo a trav\u00e9s del programa de\u00a0recompensas por errores\u00a0de Sophos.<\/p>\n\n\n\n

CVE-2024-12728<\/strong>: Esta vulnerabilidad implica la reutilizaci\u00f3n de una frase de contrase\u00f1a de inicio de\u00a0sesi\u00f3n SSH\u00a0sugerida y no aleatoria despu\u00e9s del proceso de establecimiento de HA, lo que podr\u00eda exponer cuentas del sistema con privilegios si SSH est\u00e1 habilitado. Afecta a aproximadamente el 0,5% de los dispositivos y se descubri\u00f3 durante las pruebas de seguridad internas de Sophos. Las revisiones se publicaron el 26 y 27 de noviembre de 2024, con correcciones incluidas en v20 MR3, v21 MR1 y versiones posteriores.<\/p>\n\n\n\n

CVE-2024-12729:<\/strong> Una vulnerabilidad de inyecci\u00f3n de c\u00f3digo posterior a la autenticaci\u00f3n en el Portal de usuario permite a los usuarios autenticados ejecutar c\u00f3digo arbitrario. Un investigador externo tambi\u00e9n revel\u00f3 esto responsablemente. Las revisiones se publicaron el 4, 5 y 10 de diciembre de 2024, con correcciones incluidas en v21 MR1 y versiones posteriores.<\/p>\n\n\n\n

Sophos ha lanzado<\/a> revisiones para estas vulnerabilidades, que se aplican autom\u00e1ticamente a los dispositivos con la funci\u00f3n \u00abPermitir la instalaci\u00f3n autom\u00e1tica de revisiones\u00bb habilitada. Para aquellos que no utilizan esta funci\u00f3n, son necesarias las actualizaciones manuales:<\/p>\n\n\n\n

Para las organizaciones que no pueden actualizar inmediatamente, Sophos proporciona soluciones provisionales:<\/p>\n\n\n\n