在当今数字化时代,企业网络安全的重要性愈加凸显。防火墙作为网络边界的第一道防线,其安全稳定直接关系到企业整体安全架构。近期,知名网络安全厂商Sophos和SonicWall分别发布了针对其防火墙和SMA 100系列安全设备的关键远程代码执行(RCE)漏洞的修复补丁,引发行业广泛关注。这些漏洞如果被恶意利用,攻击者可在未授权的情况下远程执行代码,导致严重的安全风险。Sophos此次公开披露的主要漏洞涵盖了CVE-2025-6704与CVE-2025-7624两大高危缺陷,均具备9.8的高CVSS评分,显示出其极高的风险等级。CVE-2025-6704漏洞源于Secure PDF eXchange(SPX)功能中的任意文件写入问题,特别是在启用SPX且防火墙处于高可用模式(HA)下时,攻击者可借此实现远程代码执行。
Sophos指出,此漏洞影响的设备比例虽仅为0.05%,但其潜在破坏力不可小觑。另一重要漏洞CVE-2025-7624存在于传统透明SMTP代理中,属于SQL注入缺陷。如果系统中激活了针对邮件的隔离策略且从较早版本升级到SFOS 21.0 GA后,该漏洞可能被利用来远程执行恶意代码。影响设备约占0.73%,同样需重点防范。除了上述漏洞,Sophos还修复了WebAdmin组件中的命令注入漏洞CVE-2025-7382,评分8.8,攻击者可在启用管理员一次性密码(OTP)认证的HA辅助设备上,进行预身份验证的代码执行。此外,两项2024年发现的安全缺陷也被一并修补。
CVE-2024-13974是一处业务逻辑缺陷,存在于系统升级组件Up2Date中,攻击者能够操控防火墙DNS环境,进而实现代码执行。该漏洞影响21.0 GA版本及之前的软件。另一漏洞CVE-2024-13973则为WebAdmin的后认证SQL注入,可使管理员获得任意代码执行能力。UK国家网络安全中心(NCSC)为这两项漏洞的发现者,体现出国际合作对网络安全的重要支撑。相比之下,SonicWall则发布了影响SMA 100系列(包括SMA 210、410及500v型号)的关键漏洞CVE-2025-40599,其CVSS评分为9.1,具有极高威胁级别。该漏洞存在于设备的web管理接口,允许拥有管理员权限的远程攻击者上传任意文件,进一步执行远程代码。
官方已在版本10.2.2.1-90sv中修补此问题。虽然尚未发现该漏洞被实际利用的案例,然而Google威胁情报团队(GTIG)曾报告过名为UNC6148的攻击者借助最新升级的SMA 100设备,部署名为OVERSTEP的后门程序。此行为进一步提醒用户漏洞修复后的持续安全监控不可或缺。针对SMA 100设备,SonicWall建议用户采取多项安全措施以增强防御。关闭外部接口(X1)上的远程管理访问,有助于缩小攻击面范围。为用户及管理员重新设置密码并重新绑定一次性密码(OTP)功能,是防止账户被劫持的关键。
此外,强制启用多因素认证(MFA)为身份验证增加一道重要防线。启动SMA 100上的Web应用防火墙(WAF),能够有效阻挡常见的Web攻击手段。对于虚拟版本SMA 500v,厂商建议用户备份OVA文件及配置数据,彻底移除现有虚拟机及其关联快照,再使用官方新版OVA重新部署,确保环境安全完整。这一系列漏洞及修复行动折射出网络安全领域持续面临的巨大挑战。随着攻击手法不断进化,厂商需加快漏洞响应速度,快速推送安全补丁。而用户则应及时跟进升级与安全配置,避免成为潜在攻击目标。
特别是防火墙和安全访问设备作为核心网络边界设备,其安全状况直接影响企业网络防御体系。此次Sophos和SonicWall的补丁发布,无疑为众多企业用户敲响警钟。匹配厂商的安全建议,构建多层次防御策略显得尤为重要。这包括严格访问控制,强化身份认证,持续监控异常行为及定期安全审计。同时,提升员工安全意识与培训,也能减少人为操作失误带来的风险。网络安全威胁的复杂多变促使行业不断探索新技术应用,例如人工智能辅助威胁检测、自动化漏洞修复与风险分析等,未来将有助于更快响应攻击并降低损害。
总体而言,Sophos和SonicWall紧急修补的远程代码执行漏洞提醒我们,信息安全切不可掉以轻心。企业需将安全更新纳入日常运维的重要环节,通过及时升级软件版本及采取全面安全措施,才能最大限度地降低网络攻击风险,保障业务连续性和数据安全。关注并采取有效的防御措施,是抵御复杂网络威胁的关键所在,唯有如此,才能在激烈的网络安全博弈中立于不败之地。
