Vulnerabilidades en Sophos Firewall

El 21 de Julio del 2025 Sophos dio a conocer 5 vulnerabilidades independientes existentes en su producto Sophos Firewall y sus respectivas soluciones. A continuación, se detallarán cada una de ellas. 

 

CVE-2025-6704 

Con una severidad crítica y una puntuación CVSS de 9.8, la vulnerabilidad CVE-2025-6704 permite la escritura arbitraria de archivos a través de la función Secure PDF eXchange (SPX). Esta falla puede ser explotada para ejecutar código de forma remota antes de la autenticación, siempre que se cumplan dos condiciones específicas: que esté habilitada una configuración particular de SPX y que el firewall esté operando en modo de alta disponibilidad (HA). Sophos comenta que esta vulnerabilidad esta afectando aproximadamente el 0.05% de dispositivos. 

 

CVE-2025-7624 

La vulnerabilidad identificada como CVE-2025-7624 también es evaluada con una severidad crítica, alcanzando una puntuación CVSS de 9.8 e impactando aproximadamente al 0.73% de los dispositivos, según datos de Sophos. Esta falla corresponde a una vulnerabilidad de inyección SQL en el proxy SMTP transparente en modo legacy, la cual puede permitir la ejecución remota de código. Su explotación es posible si se cumplen dos condiciones: que esté activa una política de cuarentena para el correo electrónico y que el sistema SFOS se haya actualizado desde una versión anterior a la 21.0 GA. Esta vulnerabilidad demuestra cómo los componentes del modo legacy son propensos a introducir riesgos de seguridad importantes en la infraestructura de red moderna. 

 

CVE-2025-7382 

Se catalogó como una vulnerabilidad de severidad alta (CVSS 8.8) que afecta al 1% de dispositivos aproximadamente. Se trata de una inyección de comandos en WebAdmin que podría permitir a atacantes en la misma red, es decir adyacentes, ejecutar código antes de la autenticación en dispositivos auxiliares que operan en modo de alta disponibilidad (HA), siempre que la autenticación OTP para el usuario administrador esté habilitada. 

 

CVE-2024-13974 

La vulnerabilidad de lógica empresarial registrada como CVE-2024-13974 se manifiesta en el componente Up2Date de Sophos Firewall anterior a la versión 21.0 MR1 (20.0.1) y facilita a los atacantes tomar control del entorno DNS del firewall para lograr la ejecución remota de código. 

 

CVE-2024-13973 

De las cinco vulnerabilidades detectadas en Sophos Firewall, la de menor gravedad corresponde a la CVE-2024-13973, con una severidad media y una puntuación CVSS de 6.8. Se trata de una vulnerabilidad de inyección SQL posterior a la autenticación en WebAdmin, que podría permitir a los administradores ejecutar código arbitrario.  

Versiones Afectadas

CVE-2025-6704, CVE-2025-7624, CVE-2025-7382: 

Versiones afectadas	Versiones parcheadas
Sophos Firewall v21.5 GA (21.5.0) y versiones anteriores	Sophos Firewall v21.0 MR2 y versiones posteriores

 

CVE-2024-13974, CVE-2024-13973: 

Versiones afectadas	Versiones parcheadas
Sophos Firewall v21.0 GA (21.0.0) y versiones anteriores	Sophos Firewall v21.0 MR1 y versiones posteriores

 

Recomendaciones

• Si cuenta con alguna versión Sophos Firewall de las siguientes: 
  • Actualice Sophos Firewall v21.0 GA (21.0.0) y versiones anteriores a Sophos Firewall v21.0 MR2 y/o versiones posteriores. 
  • Actualice Sophos Firewall v21.5 GA (21.5.0) y versiones anteriores a Sophos Firewall v21.0 MR2 y versiones posteriores. 

• Establecer controles de acceso SSH basados en la red para minimizar el riesgo de ataque 

• Auditar herramientas de acceso remoto. (NIST CSF, 2024) 

• Revisar logs para ejecución de software de acceso remoto. (NIST CSF, 2024) 

• Limitar estrictamente el uso de los protocolos SMB y RDP. 

• Realizar auditorías de seguridad. (NIST CSF, 2024) 

• Deshabilitar los servicios y procesos no requeridos para reducir los vectores de ataque. (NIST CSF, 2024)  

• Tener filtros de correo electrónico y spam. 

• Concientizar a los empleados sobre los métodos de Phishing e Ingeniería social. 

• Realizar copias de seguridad, respaldos o back-ups constantemente. 

• Mantener los respaldos desconectados de la red de la organización, verificando constantemente la confidencialidad, integridad y disponibilidad de estos. 

• Revisar continuamente los privilegios de los usuarios. 

• Tener una solución EDR robusta configurada adecuadamente basada en las mejores prácticas (de acuerdo con documentación de fabricante). 

• Habilitar la autenticación multifactor. 

Referencias

1. Baran,G. (2025, Julio 22). Critical Sophos Firewall Vulnerabilities Enables pre-auth Remote Code Execution. Cyber Security News. Recuperado el 25 de Julio de 2025, en: https://cybersecuritynews.com/sophos-firewall-vulnerabilities-rce/   
2. SOPHOS. (2025, Julio 21). Resolved Multiple Vulnerabilities in Sophos Firewall (CVE-2025-6704, CVE-2025-7624, CVE-2025-7382, CVE-2024-13974, CVE-2024-13973). Recuperado el 25 de Julio de 2025, en: https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce  
3. Lakshmanan, R. (2025, Julio 24). Sophos and SonicWall Patch Critical RCE Flaws Affecting Firewalls and SMA 100 Devices. The Hacker News. Recuperado el 25 de Julio de 2025, en: https://thehackernews.com/2025/07/sophos-and-sonicwall-patch-critical-rce.html  

El nombre es requerido.

El email es requerido.

El email no es válido.

El comentario es requerido.

↻

El captcha es requerido.

Enviar Comentario

Comentarios