270/68 (IT) ประจำวันศุกร์ที่ 25 กรกฎาคม 2568
Sophos ได้แก้ไขช่องโหว่ในผลิตภัณฑ์ Sophos Firewall จำนวน 5 รายการ โดยมีช่องโหว่ 2 รายการที่ถูกจัดอยู่ในระดับ Critical ที่ทำให้ผู้ไม่หวังดีสามารถโจมตีจากระยะไกล Remote Code Execution (RCE) ได้โดยไม่ต้องยืนยันตัวตน ซึ่งอาจนำไปสู่การเข้าควบคุมอุปกรณ์ โดยรายละเอียดของช่องโหว่ที่ได้รับการแก้ไขมีดังนี้
– CVE-2025-6704 (CVSS 9.8) เป็นช่องโหว่บนฟีเจอร์ SPX ของ Sophos Firewall ที่ทำให้ผู้โจมตีรันคำสั่งโดยไม่ต้องยืนยันตัวตนในกรณีที่อุปกรณ์เปิดใช้งานโหมด HA (High Availability) แม้จะมีผลกระทบกับอุปกรณ์เพียง ~0.05% แต่ก็ถือเป็นช่องโหว่ร้ายแรงที่พบโดยนักวิจัยจาก bug bounty program
– CVE-2025-7624 (CVSS 9.8) เป็นช่องโหว่ SQL Injection บนระบบ SMTP proxy แบบเก่าของ Sophos Firewall หากเปิดใช้งาน email quarantine และอัปเกรดมาจากเวอร์ชันก่อนหน้า 21.0 GA จะเสี่ยงถูกโจมตีและรันโค้ดจากระยะไกลได้ทันที มีอุปกรณ์ได้รับผลกระทบราว 0.73%
– CVE-2025-7382 (CVSS 8.8) เป็นช่องโหว่ Command Injection บน WebAdmin ที่ทำให้ผู้โจมตีซึ่งอยู่ในเครือข่ายใกล้เคียง (เช่น ในวง LAN เดียวกัน) สามารถรันคำสั่งบนอุปกรณ์ตัวรองในระบบ HA หากมีการเปิดใช้ OTP อยู่
– CVE-2024-13974 (CVSS 8.1) เป็นช่องโหว่ด้าน Business Logic Flaw บนฟีเจอร์ Up2Date ที่ทำให้ผู้โจมตีควบคุมค่าการตั้งค่า DNS และรันโค้ดได้จากระยะไกล
– CVE-2024-13973 เป็นช่องโหว่ระดับปานกลางที่ไม่เปิดเผยรายละเอียด แต่ได้รับการแก้ไขแล้ว
Sophos ระบุว่าได้ออก hotfix เพื่อแก้ไขช่องโหว่ทั้งหมดแล้ว โดยไม่จำเป็นต้องดำเนินการใดๆ หากผู้ใช้งานตั้งค่า Allow automatic installation of hotfixes ไว้เป็นค่าเริ่มต้น ทั้งนี้ผู้ใช้ควรตรวจสอบว่าเปิดใช้งานการอัปเดตอัตโนมัติอยู่ เพื่อให้ระบบได้รับการป้องกัน
