Sophos đã công bố nhiều lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các sản phẩm Sophos Firewall của họ. Trong đó, các lỗ hổng nghiêm trọng nhất cho phép thực thi mã từ xa (RCE) trước xác thực, có thể cho phép kẻ tấn công kiểm soát hoàn toàn các hệ thống bị ảnh hưởng.
Công ty an ninh mạng này đã phát hành các bản vá nóng (hotfix) cho năm lỗ hổng độc lập. Trong số đó, hai lỗ hổng được đánh giá ở mức độ nghiêm trọng Critical, gây ra rủi ro đáng kể cho các mạng doanh nghiệp trên toàn thế giới.
CVE-2025-6704: Ghi tệp tùy ý dẫn đến RCE tiền xác thực
Lỗ hổng đáng lo ngại nhất được theo dõi là CVE-2025-6704. Đây là một lỗi ghi tệp tùy ý (arbitrary file writing flaw) trong tính năng Secure PDF eXchange (SPX) có thể dẫn đến thực thi mã từ xa trước xác thực (pre-authentication remote code execution). Khả năng ghi tệp tùy ý cho phép kẻ tấn công đặt các tệp độc hại, như webshell hoặc cấu hình độc hại, vào các vị trí nhạy cảm trên hệ thống, từ đó giành quyền kiểm soát.
Lỗ hổng nghiêm trọng này đặc biệt ảnh hưởng đến các tường lửa đang chạy ở chế độ High Availability (HA) với các cấu hình SPX cụ thể được bật. Theo ước tính, lỗ hổng này ảnh hưởng đến khoảng 0.05% số lượng thiết bị Sophos Firewall đang được triển khai. Việc khai thác thành công có thể cho phép kẻ tấn công thực thi mã tùy ý trên thiết bị mà không cần bất kỳ thông tin xác thực nào, tạo ra một điểm xâm nhập cực kỳ nguy hiểm vào mạng doanh nghiệp.
Lỗ hổng này đã được một nhà nghiên cứu bảo mật bên ngoài phát hiện và tiết lộ một cách có trách nhiệm thông qua chương trình tiền thưởng lỗi (bug bounty program) của Sophos.
CVE-2025-7624: Tiêm nhiễm SQL trong Proxy SMTP cũ
Nguy hiểm không kém là CVE-2025-7624, một lỗ hổng tiêm nhiễm SQL (SQL injection) nằm trong thành phần proxy SMTP trong suốt (transparent SMTP proxy) đã cũ. Lỗ hổng tiêm nhiễm SQL cho phép kẻ tấn công chèn các lệnh SQL độc hại vào các truy vấn cơ sở dữ liệu, có khả năng thao túng dữ liệu hoặc thực thi các lệnh hệ thống thông qua cơ sở dữ liệu.
Lỗi nghiêm trọng này có thể dẫn đến thực thi mã từ xa (remote code execution) khi một chính sách cách ly (quarantining policy) đang hoạt động đối với email và Sophos Firewall đã được nâng cấp từ các phiên bản cũ hơn 21.0 GA. Lỗ hổng này có khả năng ảnh hưởng đến 0.73% số lượng thiết bị đang hoạt động. Điều kiện cụ thể này làm cho việc khai thác trở nên phức tạp hơn, nhưng nếu được tận dụng, nó vẫn mang lại quyền kiểm soát đáng kể cho kẻ tấn công.
Các lỗ hổng bổ sung
Ngoài hai lỗ hổng RCE nghiêm trọng kể trên, ba lỗ hổng bổ sung khác cũng làm gia tăng các mối lo ngại về bảo mật:
CVE-2025-7382: Tiêm nhiễm lệnh WebAdmin
CVE-2025-7382 là một lỗ hổng tiêm nhiễm lệnh (command injection) trong WebAdmin. Lỗ hổng này cho phép kẻ tấn công từ mạng lân cận (adjacent attackers) đạt được khả năng thực thi mã trước xác thực (pre-authentication code execution) trên các thiết bị phụ trợ (auxiliary devices) chạy chế độ High Availability (HA) khi xác thực OTP (One-Time Password) được bật cho người dùng quản trị.
CVE-2024-13974: Lỗi logic kinh doanh Up2Date
CVE-2024-13974 đại diện cho một lỗi logic kinh doanh (business logic flaw) trong thành phần Up2Date. Lỗ hổng này cho phép kẻ tấn công kiểm soát môi trường DNS của tường lửa để đạt được khả năng thực thi mã từ xa. Việc kiểm soát DNS có thể hướng các yêu cầu cập nhật hoặc truy vấn hệ thống đến các máy chủ độc hại, từ đó chèn mã hoặc dữ liệu không mong muốn.
CVE-2024-13973: Tiêm nhiễm SQL sau xác thực
CVE-2024-13973 là một lỗ hổng tiêm nhiễm SQL sau xác thực (post-authentication SQL injection) trong WebAdmin. Lỗ hổng này có thể cho phép quản trị viên (administrator) thực thi mã tùy ý. Mặc dù yêu cầu xác thực, lỗ hổng này vẫn có thể bị lạm dụng bởi các tài khoản quản trị bị chiếm đoạt hoặc nội bộ.
Biện pháp khắc phục và khuyến nghị
Sophos nhấn mạnh rằng người dùng đã bật cài đặt hotfix tự động không cần thực hiện thêm hành động nào. Các lỗ hổng nghiêm trọng (Critical) và mức độ cao (High) đã nhận được các bản vá nóng ngay lập tức, với ngày triển khai kéo dài từ tháng 1 năm 2025 đến tháng 7 năm 2025.
Các tổ chức nên xác minh việc áp dụng hotfix và đảm bảo rằng họ đang chạy các phiên bản Sophos Firewall được hỗ trợ. Hiện tại, Sophos báo cáo rằng chưa có trường hợp khai thác nào được quan sát trong thực tế đối với các lỗ hổng này.
