Sophos y Sonicwall han alertado a los usuarios de fallas de seguridad críticas en el firewall Sophos y los electrodomésticos de la serie 100 series de acceso móvil (SMA) que podrían explotarse para lograr la ejecución de código remoto.
Las dos vulnerabilidades que afectan el firewall de Sophos se enumeran a continuación –
- CVE-2025-6704 (Puntuación CVSS: 9.8) – Una vulnerabilidad arbitraria de escritura de archivos en la función Secure PDF Exchange (SPX) puede conducir a la ejecución del código remoto previo a la autor, si una configuración específica de SPX está habilitada en combinación con el firewall que se ejecuta en alta disponibilidad (HA) Mode (HA) Mode Mode
- CVE-2025-7624 (Puntuación CVSS: 9.8): una vulnerabilidad de inyección de SQL en el proxy SMTP legado (transparente) puede conducir a la ejecución de código remoto, si una política de cuarentena está activa para el correo electrónico y SFOS se actualizó desde una versión anterior a 21.0 GA GA
Sophos dijo que CVE-2025-6704 afecta a aproximadamente el 0.05% de los dispositivos, mientras que CVE-2025-7624 impacta hasta el 0.73% de los dispositivos. Ambas vulnerabilidades se han abordado junto con una vulnerabilidad de inyección de comandos de alta severidad en el componente WebAdmin (CVE-2025-7382, puntaje CVSS: 8.8) que podría dar lugar a la ejecución del código previo a la autora en los dispositivos auxiliares de alta disponibilidad (HA), si la autenticación OTP para el usuario administrador está recaudado.
También parcheados por la compañía hay otras dos vulnerabilidades –
- CVE-2024-13974 (Puntuación CVSS: 8.1): una vulnerabilidad de la lógica comercial en el componente UP2Date puede llevar a los atacantes que controlan el entorno DNS del firewall para lograr la ejecución del código remoto
- CVE-2024-13973 (Puntuación CVSS: 6.8) – Una vulnerabilidad de inyección SQL posterior a la autor en WebAdmin potencialmente puede llevar a los administradores a lograr la ejecución del código arbitrario
El Centro Nacional de Seguridad Cibernética del Reino Unido (NCSC) ha sido acreditado por descubrir e informar tanto CVE-2024-13974 como CVE-2024-13973. Los problemas afectan las siguientes versiones –
- CVE-2024-13974-Afecta a Sophos Firewall V21.0 GA (21.0.0) y más antiguo
- CVE-2024-13973-Afecta a Sophos Firewall V21.0 GA (21.0.0) y más antiguo
- CVE-2025-6704-Afecta a Sophos Firewall V21.5 Ga (21.5.0) y más antiguo
- CVE-2025-7624-Afecta a Sophos Firewall V21.5 GA (21.5.0) y más antiguo
- CVE-2025-7382-Afecta a Sophos Firewall V21.5 Ga (21.5.0) y más antiguo
La divulgación se produce cuando SonicWall detalló un error crítico en la interfaz SMA 100 Series Web Management (CVE-2025-40599, CVSS Score: 9.1) que un atacante remoto con privilegios administrativos puede explotar para cargar archivos arbitrarios y potencialmente lograr una ejecución del código remoto.
El defecto impacta los productos de la serie SMA 100 (SMA 210, 410, 500V) y se ha abordado en la versión 10.2.2.1-90SV.
SonicWall también señaló que, si bien la vulnerabilidad no ha sido explotada, existe un riesgo potencial a la luz de un informe reciente del Grupo de Inteligencia de Amenazos de Google (GTIG), que encontró evidencia de un actor de amena TRASPASAR.
Además de aplicar las correcciones, la compañía también recomienda que los clientes de los dispositivos de la serie SMA 100 realicen los siguientes pasos:
- Deshabilitar el acceso a la administración remota en la interfaz de orientación externa (X1) para reducir la superficie de ataque
- Restablecer todas las contraseñas y reinicializar OTP (contraseña única) vinculante para usuarios y administradores en el dispositivo
- Hacer cumplir la autenticación multifactor (MFA) para todos los usuarios
- Habilitar el firewall de aplicaciones web (WAF) en SMA 100
También se recomienda a las organizaciones que usan dispositivos SMA 100 Series que revisen los registros de electrodomésticos e historial de conexión para anomalías y verifiquen cualquier signo de acceso no autorizado.
Se requieren organizaciones que usen el producto virtual SMA 500V para hacer una copia de seguridad del archivo de OVA, exportar la configuración, eliminar la máquina virtual existente y todos los discos y instantáneas virtuales asociadas, reinstale el nuevo OVA de Sonicwall usando un hipervisor y restaura la configuración.
