Эксперты по кибербезопасности выявили критическую уязвимость в межсетевых экранах Sophos Firewall, ранее известных как Sophos XG Firewall. Проблема, получившая идентификаторы BDU:2025-14340 и CVE-2025-6704, связана с функцией Secure PDF eXchange (SPX) и оценивается по шкале CVSS 3.1 в 9.8 баллов из 10. Это соответствует критическому уровню опасности, поскольку позволяет злоумышленникам выполнять произвольные команды на атакованных системах без необходимости аутентификации.
Детали уязвимости
Уязвимость затрагивает все версии Sophos Firewall до 21.0 MR2 включительно. Производитель подтвердил проблему 21 июля 2025 года и выпустил официальные рекомендации по её устранению. Технически уязвимость классифицируется как CWE-78 - недостаточная нейтрализация специальных элементов в командах операционной системы. Проще говоря, атакующие могут внедрять вредоносные команды через функцию безопасного обмена PDF-файлами, что приводит к полному компрометированию системы.
Особую опасность представляет базовый вектор атаки по версии CVSS 3.0: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H. Эта формулировка означает, что для эксплуатации уязвимости не требуется ни сетевого доступа с высокой сложностью, ни привилегий пользователя, ни его взаимодействия с системой. Более того, успешная атака приводит к полному доступу к конфиденциальности данных, целостности системы и её доступности.
Механизм атаки относится к категории инъекций, когда злоумышленник специально сформированными данными обходит проверки безопасности. Конкретно в данном случае нарушители могут модифицировать параметры функции SPX таким образом, чтобы выполнить произвольный код на операционной системе межсетевого экрана. Следовательно, это открывает путь к полному контролю над устройством безопасности.
Sophos Ltd. оперативно отреагировала на обнаруженную проблему. Компания выпустила исправление в версии 21.0 MR2 и рекомендует всем клиентам немедленно обновить своё программное обеспечение. При этом статус уязвимости маркирован как "устранённая", что свидетельствует о доступности фикса. Однако наличие эксплойтов в дикой природе пока остаётся под вопросом - эти данные продолжают уточняться.
Специалисты рекомендуют обратить особое внимание на межсетевые экраны Sophos, развёрнутые в периметре сети. Поскольку атака не требует аутентификации, уязвимые устройства, доступные из интернета, представляют наибольший риск. Кроме того, критически важно обеспечить их своевременное обновление до актуальной версии прошивки.
Данный инцидент демонстрирует классический случай уязвимости типа "внедрение команд операционной системы". Подобные проблемы регулярно встречаются в различном программном обеспечении, но их наличие в продуктах категории межсетевых экранов вызывает особую озабоченность. Ведь эти устройства изначально предназначены для обеспечения безопасности всей сетевой инфраструктуры.
В качестве мер предосторожности специалисты советуют не ограничиваться простым обновлением. Целесообразно провести аудит конфигурации межсетевых экранов, убедиться в отсутствии нестандартных правил фильтрации и проверить логи на предмет возможных попыток эксплуатации. Тем временем, мониторинг сетевой активности может помочь выявить потенциальные инциденты безопасности.
Важно отметить, что уязвимость затрагивает исключительно функцию Secure PDF eXchange. Другие компоненты Sophos Firewall не подвержены данной проблеме. Тем не менее, учитывая критичность оценки, промедление с установкой обновлений может привести к серьёзным последствиям, включая полный контроль злоумышленников над системой безопасности.
Производитель опубликовал официальное сообщение о безопасности по адресу https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce, где содержатся детальные технические характеристики проблемы и инструкции по её устранению. Дополнительная информация доступна в базе уязвимостей CVE по идентификатору CVE-2025-6704.
Этот случай подчёркивает необходимость постоянного мониторинга обновлений безопасности даже для решений от ведущих вендоров. Регулярное применение заплаток остается наиболее эффективным методом защиты от подобных угроз. Поэтому системные администраторы должны prioritise обновление межсетевых экранов Sophos в рамках ближайшего планового технического обслуживания.
Ссылки
- https://bdu.fstec.ru/vul/2025-14340
- https://www.cve.org/CVERecord?id=CVE-2025-6704
- https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce
