SØK
VARSEL (TLP:CLEAR)

[JustisCERT-varsel] [#054-2025] [TLP:CLEAR] Kritiske sårbarheter i produkter fra SonicWall, Sophos og i Microsoft SharePoint Server (On-Prem)

23-07-2025

JustisCERT ønsker å varsle om sårbarheter i:

  • SonicWall SMA 100 Series (SMA 210, 410, 500v). Totalt 4 CVE (fordelt på 2 bulletiner) ble publisert av SonicWall den 23.07.2025, hvor 1 er kategorisert som kritisk (CVE-2025-40599 med CVSS-score 9.1) og 2 som alvorlig (CVE-2025-40596 og CVE-2025-40597, begge med CVSS-score 7.3). Koble sårbare enheter fra nett frem til de er installert på nytt. SonicWall har publisert oppdateringer til støttede produkter [1] [2] samt en rekke mitigerende tiltak (for å sette opp alle installasjoner av SMA 210, 410 og 500v helt på nytt) da det 30.07.2025 ble kjent at angripere aktivt har utnyttet sårbare løsninger i lengre tid [3].
     
  • Sophos Intercept X. Totalt 1 bulletin (omfatter 3 CVE) ble publisert av Sophos den 17.07.2025, hvor alle CVE er kategorisert alvorlig (CVE-2024-13972 med CVSS-score 8.8, CVE-2025-7433 med CVSS-score 8.8 og CVE-2025-7472 med CVSS-score 7.5). Sophos har publisert oppdateringer til støttede produkter. [4]
     
  • Sophos Firewall. Totalt 1 bulletin (omfatter 5 CVE) ble publisert av Sophos den 21.07.2025, hvor 2 CVE er kategorisert som kritisk (CVE-2025-6704 og CVE-2025-7624, begge med CVSS-score 9.8) og 2 som alvorlig (CVE-2025-7382 med CVSS-score 8.8 og CVE-2024-13974 med CVSS-score 8.1). Koble sårbare enheter fra nett frem til de er oppdatert. Sophos har publisert oppdateringer til støttede produkter. [5]
     
  • Microsoft SharePoint Server (On-Prem). Totalt 2 CVE ble publisert av Microsoft den 19.07.2025 og 20.07.2025, hvor 1 er kategorisert som kritisk (CVE-2025-53770 med CVSS-score 9.8) og 1 som alvorlig (CVE-2025-53771 med CVSS-score 6.5). Sårbarhetene blir aktivt utnyttet. Koble sårbare servere fra nett frem til de er oppdatert og undersøk serverne for tegn på kompromittering. Sårbarhetene berører ikke SharePoint Online (Microsoft 365). Microsoft har publisert informasjon om sårbarhetene, ulike beskyttelsestiltak som bør være på plass på en SharePoint Server og oppdateringer til støttede produkter. [6]

 


Berørte produkter er:

  • SonicWall SMA 100 Series (SMA 210, 410, 500v) < 10.2.2.1-90sv
     
  • Sophos Intercept X Endpoint
  • Sophos Intercept X for Server
     
  • Sophos Firewall
     
  • Microsoft SharePoint Server Subscription Edition
  • Microsoft SharePoint Server 2019
  • Microsoft SharePoint Server 2016
  • Microsoft SharePoint Server 2013 (end of life, får ikke nødvendige oppdateringer)
  • Microsoft SharePoint Server 2010 (end of life, får ikke nødvendige oppdateringer)

 


Anbefalinger:

  • Patch/oppdater berørte produkter snarest
  • Skru på automatisk oppdatering der det er mulig
  • Avinstaller programvare som ikke benyttes
  • Fas ut software/hardware som ikke kan oppdateres og avhend utstyret på en sikker måte slik at data ikke kan leses av uønskede
  • Prioriter systemer som kan nås fra internett og andre nett som virksomheten ikke stoler på først
  • Prioriter systemer som håndterer viktige data (f.eks. personopplysninger) eller på annen måte er viktige for virksomheten
  • Sørg for at virksomhetens tjenester (enten de er eksponert kun internt i eget nett eller på internett) kun kan nås av ønskede ressurser
  • Bruk phishing-resistent multifactor authentication (MFA), minimum på alle påloggingstjenester eksponert på internett og nett som virksomheten ikke stoler på
  • Begrens hvem som kan nå internetteksponerte løsninger ved bruk av Geo-blokking (tillatt f.eks. Norge dersom tjenesten kun skal nås derfra) eller begrens den til kun ønskede IP-adresser
  • Begrens hvilke IP-adresser som kan administrere en løsning til f.eks. kun de faste interne IPene som administratorer av løsningen benytter
  • Aktiver IPS-signaturer/DNS-filtrering/annen beskyttelse i brannmurer/nettet som kan bidra til å beskytte internetteksponerte løsninger
  • Sørg for nødvendig segmentering (skill som minimum servere, klienter, printere, IOT-enheter og sørg for at kun nødvendig trafikk er tillatt mellom disse). Sperr for all direktetrafikk mellom klienter.
  • Skru av alle funksjoner/tjenester som ikke benyttes/er nødvendig for daglig drift (skru de eventuelt kun på når du trenger de)
  • Skru av alle usikre/utgåtte funksjoner (f.eks. TLS v1.0 og v1.1, SMBv1, NTLMv1, FTP, Telnet, SNMP v1 og v2, POP, IMAP, NetBIOS, LLMNR, HTTP)
  • Følg NSM Grunnprinsipper for IKT-sikkerhet [7]
  • Følg anbefalingene fra Cybersecurity & Infrastructure Security Agency (CISA) [8]

 


Kilder:
[1] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0014
[2] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0012

[3] https://www.sonicwall.com/support/notices/urgent-advisory-for-addressing-rootkits-and-other-critical-vulnerabilities-in-sonicwall-sma-100-series-appliances/250730071322160
[4] https://www.sophos.com/en-us/security-advisories/sophos-sa-20250717-cix-lpe
[5] https://www.sophos.com/en-us/security-advisories/sophos-sa-20250721-sfos-rce
[6] https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/
[7] https://nsm.no/grunnprinsipper-ikt
[8] https://www.cisa.gov/shields-up