Sophosのファイアウォールに重大な脆弱性-既に修正済み(CVE-2025-6704, CVE-2025-7624, CVE-2025-7382, CVE-2024-13974, CVE-2024-13973)

セキュリティニュース

投稿日時: 更新日時:

Sophosのファイアウォールに重大な脆弱性-既に修正済み(CVE-2025-6704, CVE-2025-7624, CVE-2025-7382, CVE-2024-13974, CVE-2024-13973)

2025年7月21日、Sophosは同社の次世代ファイアウォール製品「Sophos Firewall」において発見された5件のセキュリティ脆弱性を公表し、

全ての対象バージョンに対して修正を提供済みであることを発表しました。

これらの脆弱性には、リモートコード実行(RCE)やSQLインジェクションコマンドインジェクションといった深刻なものが含まれており、一部は事前認証での攻撃が可能な構成条件下にありました。

影響を受ける脆弱性の概要

以下は今回公表されたCVE(共通脆弱性識別子)とその内容です

CVE ID 内容 深刻度
CVE-2025-6704 SPX(Secure PDF eXchange)機能における任意ファイル書き込み。HA構成で特定の条件下において、事前認証でRCEが可能。影響端末は全体の約0.05%。 クリティカル
CVE-2025-7624 レガシーSMTPプロキシにおけるSQLインジェクション。旧バージョン(21.0未満)からアップグレードした環境で隔離ポリシー有効時に、リモートコード実行が可能。影響端末は約0.73%。 クリティカル
CVE-2025-7382 WebAdminにおけるコマンドインジェクション。HA構成かつOTP認証有効時、隣接ネットワークからの事前認証RCEが可能。影響端末は約1%。
CVE-2024-13974 Up2Date機能のロジック不備により、攻撃者がDNS設定を制御してRCEが可能に。
CVE-2024-13973 WebAdminにおける認証後SQLインジェクションで、管理者が任意コードを実行可能。

これらの脆弱性は、外部のセキュリティ研究者や英国NCSC(国家サイバーセキュリティセンター)からSophosへ責任ある開示が行われ、Sophosのバグ報奨金プログラムを通じて報告されたものです。

対象バージョンと修正内容

修正は2025年1月~7月にかけて段階的にホットフィックスとして提供されており、Sophos Firewallの「ホットフィックスの自動適用」が有効(デフォルト設定)であれば、ユーザー側の操作は不要です。

CVE 修正提供日(対象バージョン)
CVE-2025-6704 2025年6月24日・7月1日より適用開始(v19.0 MR2 ~ v21.5 GA)
CVE-2025-7624 2025年7月15日より適用開始(v19.0 MR2 ~ v21.5 GA)
CVE-2025-7382 2025年6月30日・7月2日より適用開始(v19.0 MR2 ~ v21.5 GA)
CVE-2024-13974 2025年1月6日~7日に適用(v19.0 MR2 ~ v21.0 GA)
CVE-2024-13973 v21.0 MR1以降に修正含む

v21.0 MR2以降のバージョンではすべての脆弱性が解消済みです。サポート対象外のバージョンを使用している場合は、最新のバージョンへアップグレードが必須となります。

ユーザーへの推奨対応

Sophosは本件に関して、次のような対応を推奨しています:

  • 自動ホットフィックスの有効化を確認する(デフォルトで有効)

  • 稼働バージョンが21.0 MR2以上であることを確認する

  • KBA-000010589の手順に従い、ホットフィックスが適用済みかを確認(確認手順はこちら

また、現時点ではこれらの脆弱性が実際に悪用された痕跡は確認されていないとされていますが、攻撃対象領域が特定条件下で広範囲に及ぶため、速やかなバージョン確認と対策が推奨されます。