Se han revelado múltiples vulnerabilidades críticas que afectan directamente a dispositivos de seguridad perimetral ampliamente utilizados, específicamente Sophos Firewall y SonicWall SMA 100 Series. Estas fallas permiten la ejecución remota de código (RCE), incluso en escenarios previos a la autenticación, lo que representa un riesgo severo para las organizaciones que dependen de estos dispositivos para proteger su infraestructura.
Vulnerabilidades en Sophos Firewall
1. CVE-2025-6704 – Gravedad: 9.8 (CVSS)
Vulnerabilidad de escritura arbitraria de archivos en la función Secure PDF eXchange (SPX).
Permite RCE sin autenticación previa si el SPX está habilitado y el firewall opera en modo de Alta Disponibilidad (HA).
2. CVE-2025-7624 – Gravedad: 9.8 (CVSS)
Inyección SQL en el proxy SMTP heredado.
Ejecutable si existe una política de cuarentena activa y el sistema fue actualizado desde una versión anterior a 21.0 GA.
3. CVE-2025-7382 – Gravedad: 8.8 (CVSS)
Vulnerabilidad de inyección de comandos en WebAdmin.
Exploitable si la autenticación OTP está activa en dispositivos auxiliares en entornos HA.
4. CVE-2024-13974 – Gravedad: 8.1 (CVSS)
Falla de lógica de negocio en el componente Up2Date.
Permite al atacante manipular el entorno DNS del firewall y ejecutar código remoto.
5. CVE-2024-13973 – Gravedad: 6.8 (CVSS)
Inyección SQL post-autenticación en WebAdmin, con posibilidad de ejecución de código por administradores.
Las vulnerabilidades afectan versiones hasta la v21.5 GA (21.5.0). Sophos ha lanzado parches para todas las fallas mencionadas.
Vulnerabilidad Crítica en SonicWall SMA 100 Series
CVE-2025-40599 – Gravedad: 9.1 (CVSS)
Falla en la interfaz de administración web que permite la carga de archivos arbitrarios.
Afecta los modelos SMA 210, 410 y 500v.
Requiere acceso administrativo previo, pero podría llevar a ejecución remota de código.
Resuelta en la versión 10.2.2.1-90sv.
Además, SonicWall recomienda:
Deshabilitar el acceso remoto en la interfaz externa (X1).
Restablecer contraseñas y volver a enlazar OTP para usuarios y administradores.
Habilitar MFA y el Web Application Firewall (WAF).
Auditar los logs y revisar el historial de conexiones ante posibles accesos no autorizados.
Para el producto SMA 500v, realizar una reinstalación completa del OVA y restaurar la configuración desde backup.
Aunque no se ha observado explotación activa, Google Threat Intelligence Group ha detectado el uso de dispositivos SMA 100 totalmente parcheados por el grupo UNC6148 para desplegar el backdoor OVERSTEP, lo que incrementa la urgencia de aplicar medidas preventivas.
Recomendaciones Generales
Aplicar de inmediato los parches oficiales correspondientes.
Fortalecer políticas de autenticación y segmentación de red.
Monitorear de forma proactiva logs y patrones de comportamiento anómalo.
Implementar controles de acceso estrictos en interfaces de administración.
Estas vulnerabilidades subrayan la necesidad de mantener actualizados los dispositivos de seguridad y adoptar una postura proactiva frente a amenazas que evolucionan rápidamente.
