2. Múltiples vulnerabilidades críticas en Sophos Firewall la ejecución remota de código (CVE-2025-6704, CVE-2025-7624, CVE-2025-7382)

Múltiples vulnerabilidades críticas en Sophos Firewall la ejecución remota de código (CVE-2025-6704, CVE-2025-7624, CVE-2025-7382)

Fecha de publicación: Mar, 22/07/2025 - 09:16

Alerta de seguridad

Nivel de peligrosidad: Crítico

Descripción

Se han identificado cinco vulnerabilidades en dispositivos Sophos Firewall, dos de las cuales permiten ejecución remota de código (RCE) no autenticada. Las vulnerabilidades afectan a múltiples versiones de Sophos Firewall y pueden ser explotadas a través de vectores como inyección de comandos, inyección SQL, y manipulación del entorno DNS.

Recursos afectados

  • Sophos Firewall v21.5 GA (21.5.0) y anteriores
  • v21.0 GA (21.0.0) y anteriores, incluyendo:
    • v19.0 MR2 (19.0.2.472)
    • v20.0 MR2 (20.0.2.378)
    • v20.0 MR3 (20.0.3.427)

Solución y acciones inmediatas:

  • Aplicar los parches oficiales para las vulnerabilidades entre enero y julio de 2025 (ver KBA-000010589).
  • Deshabilitar SPX y WebAdmin público si no son esenciales.
  • Actualizar firmas IDS/IPS para detección de explotación en WebAdmin y SMTP Proxy.

Recomendaciones

  • Segmentación de redes sensibles, limitando la comunicación con dispositivos Sophos únicamente desde redes administrativas.
  • Monitoreo de logs del firewall con reglas Sigma o detección de anomalías (por ejemplo, múltiples accesos fallidos o cambios de configuración inesperados).
  • Ejecutar pruebas de restauración de configuraciones de firewall en caso de compromiso.

Referencias

CVE-2025-6704

CVE-2025-7624

CVE-2025-7382

Advisory de Sophos (sophos-sa-20250721-sfos-rce)