Sophos vừa qua đã công bố và kêu gọi người dùng thực hiện vá khẩn cấp năm lỗ hổng bảo mật độc lập trong sản phẩm Sophos Firewall, trong đó có hại lỗ hổng nghiêm trọng cho phép những kẻ tấn công có thể thực thi mã từ xa mà không cần xác thực (RCE). Thông báo được phát hành ngày 21/7/2025, nhấn mạnh các lỗ hổng này ảnh hưởng đến các cấu hình nhất định, dù tỷ lệ thiết bị bị ảnh hưởng vẫn dưới 1% với hầu hết trường hợp.

Tổng quan

Theo như đội ngũ FPT Threat Intelligence ghi nhận, trong số các lỗ hổng được công bố thì có hai lỗ hổng nghiêm trọng nhất cũng như được tin tặc tích cực khai thác là CVE-2025-6704 và CVE-2025-7624, đều đạt mức độ nghiêm trọng “critical” và cho phép kẻ tấn công thực thi mã từ xa mà không cần xác thực.

Lỗ hổng CVE-2025-6704 nằm trong tính năng Secure PDF Exchange (SPX) – một thành phần dùng để gửi email được mã hóa dưới dạng file PDF có mật khẩu, phổ biến trong hệ thống Sophos Firewall. Khi người dùng bật SPX, có thể gửi email an toàn cho người nhận mà không cần sử dụng phương thức mã hóa PGP hoặc S/MIME. Tuy nhiên kẻ tấn công đã lợi dụng chính điều này để ghi file độc hại vào hệ thống firewall.

Lỗ hổng CVE-2025-7624 tồn tại trong SMTP proxy cũ (legacy mode) của Sophos Firewall – được sử dụng để lọc, kiểm tra và lưu nhật ký các email đi/đến. Bên cạnh đó lỗ hổng này cho phép thực thi mã từ xa khi chính sách cách ly email được bật và hệ điều hành Sophos Firewall đã được nâng cấp từ các phiên bản trước 21.0 GA. Phạm vi ảnh hưởng của lỗ hổng này rộng hơn, lên tới 0,73% thiết bị đang triển khai.

Phiên bản ảnh hưởng

Sản phẩm	Phiên bản bị ảnh hưởng
Sophos Firewall OS (SFOS)	Tất cả phiên bản ≤ 21.5 GA (General Availability)
Điều kiện bổ sung	- SPX email protection được bật
- Firewall không ở chế độ HA (High Availability)

Chi tiết lỗ hổng

1. CVE‑2025‑6704 – RCE trước khi xác thực thông qua SPX

Độ CVSS 9.8 (Critical)
Lỗ hổng ghi file tùy ý trong chức năng Secure PDF eXchange (SPX), xuất hiện trên các thiết bị nằm không trong chế độ High Availability (HA) với SPX được bật.
Phạm vi khá nhỏ, khoảng 0.05% thiết bị bị ảnh hưởng. Được phát hiện qua chương trình bug bounty của Sophos

2. CVE‑2025‑7624 – SQL Injection trên SMTP proxy

CVSS 9.8 (Critical)
Lỗi SQL injection nằm trong legacy transparent SMTP proxy có thể dẫn đến RCE.
Một số thiết bị nâng cấp từ phiên bản SFOS < 21.0 GA đang dùng chính sách quarantining sẽ bị ảnh hưởng (~0.73% thiết bị).

3. CVE‑2025‑7382 – Command Injection trên WebAdmin AUX HA

CVSS 8.8 (High)
Cho phép kẻ tấn công trong mạng cục bộ thực thi mã trên thiết bị phụ trợ HA, nếu chức năng OTP cho WebAdmin được bật.
Ảnh hưởng trên khoảng 1% thiết bị.

4. CVE‑2024‑13974 – RCE qua Up2Date

CVSS 8.2 (High)
Do lỗi về logic nghiệp vụ trong thành phần Up2Date, kẻ tấn công có thể chi phối DNS của firewall và thực thi mã từ xa.
Phát hiện bởi UK National Cyber Security Centre (NCSC)

5. CVE‑2024‑13973 – SQL Injection trong WebAdmin

CVSS 6.6 (Medium)
SQL injection sau xác thực, cho phép admin mạng có thể chạy mã tùy ý.

Luồng khai thác

Lỗ hổng CVE-2025-7624
- Như đã đề cập trước đó khi một email đến được xử lý bởi proxy, dữ liệu như địa chỉ người gửi, tiêu đề hoặc nội dung bị đưa vào câu lệnh SQL mà không có lọc đúng cách. Thông qua đó, kẻ tấn công có thể gửi một email được chế tạo đặc biệt, chèn mã SQL vào tiêu đề hoặc trường SMTP.

Khi đó nếu SMTP proxy của Sophos xử lý trường Subject bằng cách nhúng trực tiếp vào câu lệnh SQL mà không có biện pháp lọc đầu vào (input sanitization), hacker có thể:
- Xóa bảng log (quarantine_logs).
- Ghi đè file.
- Hoặc tiến tới thực thi lệnh tùy ý nếu kết hợp với RCE khác.

Lỗ hổng CVE-2025-6704
- Theo các chuyên gia ghi nhận, kẻ tấn công sẽ thực hiện gửi Email đến nạn nhân (có SPX được kích hoạt). Tiêu đề của Email tất nhiên sẽ có chứa mã độc

Tại đây Firewall sẽ tự động nhận email và chuyển nội dung thành file PDF được mã hóa. Tuy nhiên một lỗi rất nghiêm trọng nằm ở bước xử lý file PDF. SPX sẽ cố ghi file tạm (temp file) chứa dữ liệu metadata như tên người nhận, tiêu đề… mà không kiểm soát đúng đường dẫn hoặc nội dung file.
Bước tiếp theo kẻ tấn công có thể chèn payload vào một trường (ví dụ: Subject) để ép SPX ghi file tới vị trí bất kỳ trên hệ thống như /tmp/shell.sh, /var/www/html/backdoor.php, hoặc một file cấu hình quan trọng.

Tại đây nếu Firewall không xử lý đúng đầu vào trong Subject, dòng này sẽ tạo file PHP với mã độc RCE tại thư mục web. và khi đó kẻ tấn công có thể truy cập https://firewall-ip/shell.php?cmd=id và thực thi các mã từ xa.

Khuyến nghị & Khắc phục

Xác minh phiên bản firewall: đảm bảo đang chạy bản vá mới nhất ≥ 21.5 GA với hotfix đã áp dụng.
Kích hoạt cập nhật tự động: bật lại nếu đã tắt trước đó.
Giám sát kỹ cấu hình SPX, SMTP Proxy, WebAdmin OTP nếu dùng HA.
Kiểm tra bộ lọc email, logs SMTP để phát hiện dấu hiệu tấn công qua proxy.
Với hệ thống nội bộ có email chạy qua firewall, cân nhắc chuyển sang relay hoặc dịch vụ email chuyên dụng.

Kết luận

Sophos đã xử lý nhanh các lỗ hổng nghiêm trọng, tuy nhiên quá trình cập nhật cần được xác nhận và giám sát một cách chặt chẽ. Theo khuyến cáo từ hãng người dùng nên ưu tiên vá hai lỗ hổng CVE‑2025‑6704 và 7624, do đó là các lỗ hổng pre-auth RCE nguy hiểm nhất trong chiến dịch được ghi nhận. Việc triển khai hotfix sớm đã giảm thiểu rủi ro, nhưng cần duy trì giám sát liên tục, đặc biệt đối với các cấu hình email và HA.

Sophos khuyến nghị vá loạt lỗ hổng nghiêm trọng