أعلنت شركتا “سوفوس” و”سونيك وول” عن اكتشاف ثغرات أمنية بالغة الخطورة في جدران الحماية وأنظمة النفاذ الآمن (SMA 100)، قد تُمكّن مهاجمين من تنفيذ أوامر برمجية عن بُعد (RCE) والوصول إلى أنظمة داخلية دون مصادقة مسبقة.
وكشفت شركة “سوفوس” أن الثغرتين الأساسيتين المستهدفتين تؤثران على إصدارات Sophos Firewall وفق التالي:
- CVE-2025-6704 (تقييم CVSS: 9.8): ثغرة تسمح بكتابة ملفات بشكل تعسفي ضمن ميزة تبادل PDF الآمن (SPX)، ما يمكّن من تنفيذ أوامر عن بُعد قبل المصادقة في حال تفعيل إعدادات معينة مع عمل الجدار الناري ضمن وضع التوافر العالي (HA).
- CVE-2025-7624 (تقييم CVSS: 9.8): ثغرة حقن استعلامات SQL ضمن وكيل البريد الإلكتروني القديم (الشفاف)، قد تسمح بتنفيذ أوامر عن بُعد في حال كانت سياسة الحجر للبريد مفعلة وتمت ترقية النظام من إصدار أقدم من 21.0 GA.
وأشارت “سوفوس” إلى أن الثغرة الأولى تؤثر على ما يقرب من 0.05% من الأجهزة، بينما تطال الثانية حوالي 0.73% من الأجهزة. كما عالجت الشركة ثغرة ثالثة عالية الخطورة في مكوّن WebAdmin، تُعرف بـCVE-2025-7382 (تقييم CVSS: 8.8)، تسمح بتنفيذ أوامر على الأجهزة المساعدة في نمط HA في حال تم تفعيل المصادقة لمرة واحدة (OTP) للمستخدم الإداري.
ثغرات إضافية من عام 2024
إلى جانب الثغرات الجديدة، تم إصلاح ثغرتين إضافيتين من إصدارات سابقة:
- CVE-2024-13974 (تقييم CVSS: 8.1): ثغرة في منطق التشغيل ضمن مكوّن Up2Date قد تُستغل للسيطرة على بيئة DNS الخاصة بالجدار الناري وتنفيذ أوامر عن بُعد.
- CVE-2024-13973 (تقييم CVSS: 6.8): ثغرة حقن SQL بعد المصادقة في واجهة WebAdmin قد تسمح بتشغيل تعليمات برمجية من قبل مسؤول النظام.
ونسب المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC) الفضل في اكتشاف الثغرتين الأخيرتين.
الإصدارات المتأثرة تشمل:
- Sophos Firewall v21.5 GA (21.5.0) وما دون للثغرات CVE-2025-6704 وCVE-2025-7624 وCVE-2025-7382
- Sophos Firewall v21.0 GA (21.0.0) وما دون للثغرتين CVE-2024-13974 وCVE-2024-13973
ثغرة حرجة في واجهة إدارة SonicWall SMA 100
في المقابل، أعلنت “سونيك وول” عن معالجة ثغرة أمنية خطيرة تم تصنيفها تحت CVE-2025-40599 (تقييم CVSS: 9.1)، تؤثر على واجهة الإدارة في سلسلة SMA 100، والتي يمكن استغلالها من قبل مستخدم يملك صلاحيات إدارية لرفع ملفات ضارة وتنفيذ أوامر عن بُعد.
الثغرة تؤثر على أجهزة SMA 210 وSMA 410 وSMA 500v، وتمت معالجتها في الإصدار 10.2.2.1-90sv.
ورغم عدم رصد استغلال فعلي لها حتى الآن، فإن “سونيك وول” حذّرت من أن مجموعة تهديدات متقدمة تُعرف باسم UNC6148، قد استغلت نسخاً محدثة من هذه الأجهزة لنشر برمجية خبيثة تدعى OVERSTEP، بحسب ما كشف عنه فريق Google Threat Intelligence Group.
توصيات للمؤسسات المتأثرة
إلى جانب تثبيت التحديثات، أوصت “سونيك وول” عملاء SMA 100 باتخاذ الإجراءات التالية:
- تعطيل الوصول إلى واجهة الإدارة من المنافذ الخارجية (X1)
- إعادة ضبط جميع كلمات المرور وإعادة ربط رموز OTP للمستخدمين والمسؤولين
- فرض تفعيل المصادقة متعددة العوامل (MFA) لجميع المستخدمين
- تفعيل جدار الحماية لتطبيقات الويب (WAF) على أجهزة SMA 100
- مراجعة سجلات الأجهزة وسجل الاتصالات لرصد الأنشطة غير المصرّح بها
كما طالبت المؤسسات التي تستخدم المنتج الافتراضي SMA 500v بأخذ نسخة احتياطية من ملف OVA، وتصدير الإعدادات، ثم إزالة الآلة الافتراضية القديمة وكافة الأقراص المرتبطة بها، ومن ثم إعادة تثبيت OVA جديدة واستعادة الإعدادات.
