This post is also available in: Português
Duas vulnerabilidades graves foram corrigidas no Sophos Firewall, ambas com potencial de permitir que um invasor remoto execute código sem qualquer autenticação. A primeira, identificada como CVE-2025-6704, está relacionada ao recurso SPX (Secure PDF eXchange). A segunda, CVE-2025-7624, envolve o proxy SMTP legado usado em políticas de quarentena de e-mails. Ambas receberam pontuação CVSS 9.8 e afetam diferentes conjuntos de dispositivos e configurações, mas compartilham o mesmo nível crítico de severidade.
CVE-2025-6704: falha no SPX combinada ao modo HA
A CVE-2025-6704 explora uma condição específica, porém extremamente perigosa: quando o recurso SPX está ativado em um firewall configurado com High Availability (HA), pode ocorrer uma vulnerabilidade de gravação arbitrária de arquivos no sistema. Isso abre a possibilidade de execução remota de código por parte de um atacante não autenticado, direto pela rede. Apesar de a Sophos estimar que apenas 0,05% dos dispositivos estejam operando com essa configuração, o impacto em ambientes corporativos com requisitos de alta disponibilidade é considerável. A falha foi atribuída à categoria CWE-78, relacionada à injeção de comandos no sistema operacional.
CVE-2025-7624: injeção de SQL no proxy SMTP legado
Já a CVE-2025-7624 é uma falha de injeção de SQL (CWE-89) no componente de proxy SMTP legado, ativado em políticas de quarentena de e-mail. Essa vulnerabilidade afeta dispositivos que migraram para versões mais recentes do Sophos Firewall a partir da 21.0 GA, mantendo essa configuração ativa. A exploração permite que atacantes enviem comandos SQL maliciosos e, com isso, obtenham controle remoto sobre o sistema. A Sophos estima que até 0,73% dos dispositivos possam estar vulneráveis, especialmente em empresas que mantêm regras antigas sem revisão após atualizações de versão.
Atualizações e mitigação
As duas falhas foram resolvidas na versão SFOS 21.0 MR2 (21.0.2) e também por meio de hotfixes distribuídos para versões anteriores ainda em suporte. Segundo a Sophos, dispositivos com a instalação automática de hotfixes ativada — o padrão na maioria dos casos — já devem estar protegidos. Mesmo assim, recomenda-se verificar manualmente o status da correção.
Para a CVE-2025-6704, a desativação temporária do SPX pode ser uma medida emergencial para quem ainda não aplicou o patch. No caso da CVE-2025-7624, rever a necessidade do proxy SMTP legado e das políticas de quarentena pode evitar futuras exposições.
Impacto e resposta
Embora a Sophos afirme que não há indícios de exploração ativa dessas vulnerabilidades até o momento, a natureza crítica de ambas exige resposta imediata. Trata-se de falhas pré-autenticação, com complexidade baixa e impacto alto na confidencialidade, integridade e disponibilidade dos sistemas.
Em um cenário onde firewalls são a primeira linha de defesa, manter a superfície de ataque reduzida e o sistema atualizado é essencial para evitar comprometimentos em escala.
This post is also available in: Português
