Эксперты по кибербезопасности обнаружили критическую уязвимость в межсетевых экранах Sophos Firewall, ранее известных как Sophos XG Firewall. Проблема, получившая идентификатор CVE-2025-7624 в системе общего перечня уязвимостей, связана с недостатками в компоненте SMTP-прокси. Соответственно, она позволяет удаленным злоумышленникам выполнять произвольные команды на атакуемых системах.
Детали уязвимости
Уязвимость официально зарегистрирована под номером BDU:2025-14339 в российской базе данных уязвимостей. Технически проблема классифицируется как SQL-инъекция (CWE-89), возникающая из-за недостаточной проверки пользовательского ввода в SQL-запросах. По сути, атакующие могут внедрять вредоносные SQL-команды через SMTP-прокси.
Оценка по методологии CVSS демонстрирует исключительную опасность данной уязвимости. В третьей версии CVSS она получила базовый балл 9.8 из 10, что соответствует критическому уровню угрозы. Между тем, по устаревшей версии CVSS 2.0 оценка достигает максимальных 10 баллов. Такие высокие показатели объясняются полным отсутствием требований к аутентификации и простоте эксплуатации.
Подверженными уязвимости признаны все версии Sophos Firewall до 21.0 MR2 включительно. Производитель Sophos Ltd. уже подтвердил наличие проблемы и выпустил необходимое обновление безопасности. Следовательно, все организации, использующие данные межсетевые экраны, должны незамедлительно принять меры.
Потенциальные последствия успешной эксплуатации уязвимости крайне серьезны. Злоумышленники могут получить полный контроль над firewall, включая возможность чтения, изменения или удаления конфиденциальных данных. Кроме того, существует риск установки постоянного присутствия (persistence) в корпоративной сети и развертывания дополнительного вредоносного кода (payload).
Специалисты отмечают, что уязвимость относится к классу Remote Code Execution, что означает возможность удаленного выполнения кода без физического доступа к оборудованию. Атакующий может находиться в любой точке мира, что значительно расширяет потенциальный круг жертв. При этом для проведения атаки не требуется взаимодействие с пользователем.
Производитель рекомендует всем клиентам немедленно обновиться до версии, где уязвимость устранена. Соответствующие инструкции и патчи опубликованы на официальном сайте Sophos в разделе security advisories. Важно подчеркнуть, что промедление с установкой обновлений создает непосредственную угрозу для безопасности всей корпоративной инфраструктуры.
На текущий момент информация о наличии публичных эксплойтов для данной уязвимости уточняется. Однако учитывая ее критический характер и относительную простоту эксплуатации, появление работающих сценариев атаки в ближайшее время весьма вероятно. Поэтому времени на принятие защитных мер остается крайне мало.
Кибербезопасность современных организаций во многом зависит от своевременного обновления систем защиты. Данный случай в очередной раз демонстрирует, что даже продукты от ведущих вендоров могут содержать серьезные уязвимости. Следовательно, необходим комплексный подход к безопасности, включающий регулярный мониторинг угроз и оперативное применение заплаток.
Эксперты рекомендуют не ограничиваться простым обновлением Sophos Firewall. Дополнительно следует провести аудит конфигураций, проверить логи на предмет возможных инцидентов безопасности и убедиться в работоспособности систем обнаружения вторжений IDS/IPS. Подобные меры помогут выявить возможные компрометации, если атаки уже имели место.
Важно понимать, что межсетевые экраны являются критическим элементом защиты периметра сети. Любая уязвимость в них создает прямую угрозу для всех внутренних систем. Особенную опасность представляют возможности выполнения произвольного кода, поскольку они фактически превращают средство защиты в инструмент атаки.
В настоящее время уязвимость CVE-2025-7624 активно изучается исследователями безопасности по всему миру. Ведутся работы по разработке сигнатур для систем обнаружения атак, которые позволят выявлять попытки эксплуатации. Между тем, производитель продолжает мониторинг ситуации и готовит при необходимости дополнительные рекомендации.
Отраслевые специалисты отмечают тревожную тенденцию роста количества уязвимостей в сетевом оборудовании. За последний год было зафиксировано несколько критических проблем в решениях различных вендоров. Это подчеркивает важность регулярного обновления не только программного обеспечения, но и прошивок сетевых устройств.
Для организаций, которые пока не могут выполнить немедленное обновление, существуют временные меры mitigation. В частности, можно ограничить доступ к SMTP-прокси только из доверенных сетей или временно отключить данный компонент, если он не используется в рабочем процессе. Однако эти меры следует рассматривать исключительно как временное решение.
В заключение стоит отметить, что своевременное информирование о подобных уязвимостях является важнейшим элементом современной кибербезопасности. Благодаря оперативной работе исследователей и производителей, организации получают возможность заблаговременно защититься от потенциальных атак. Поэтому мониторинг источников безопасности должен быть неотъемлемой частью процедур ИТ-безопасности любой компании.
Ссылки
- https://bdu.fstec.ru/vul/2025-14339
- https://www.cve.org/CVERecord?id=CVE-2025-7624
- https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce
