Sophos Firewall: Sin CVEs, pero plagado de bugs (v21.5 a v22)

3 de marzo de 2026 • 23 min read

Tabla de contenidos

Si te mueves actualmente en el entorno de los firewalls, generalmente tienes que lidiar con uno de dos grandes males: o estás constantemente estresado por vulnerabilidades críticas (CVEs, como ocurre actualmente con Fortinet) y pasas las noches parcheando, o los sistemas te ponen tantos obstáculos en las operaciones regulares debido a firmware inestable y bugs molestos (como ocurre actualmente con Sophos) que no puedes hacer nada más.

En mi trabajo en la empresa, esto último es exactamente lo que está sucediendo: un estrés que, naturalmente, a veces me llevo a casa. Nuestro dolor de cabeza actual se llama: Sophos Firewall.

Mientras competidores como Fortinet parecen lanzar nuevos avisos del PSIRT semanalmente, manteniendo a los administradores rotando en un ciclo de parches constante, Sophos nos está consumiendo el tiempo de forma masiva. No por vulnerabilidades que acaparan titulares, sino por bugs completamente mundanos pero críticos en el día a día.

Disclaimer, para que esto no parezca que comparamos peras con manzanas: Soy plenamente consciente de que Fortinet también lidia con bugs masivos (pensemos en el Conserve Mode y los Memory Leaks en FortiOS 7.2/7.4/7.6) y que Sophos también ha tenido su cuota de CVEs severos en el pasado. Sin embargo, en la actual fase de v21.5/v22, esta constelación específica es exactamente donde nos duele: con uno, es un parcheo constante de CVEs; con Sophos, es trabajo operativo innecesario causado por problemas de estabilidad.

Contexto de versiones (TL;DR)

Solo para dejar claro que no estoy escribiendo sobre alguna v19 polvorienta, sino sobre lo que muchos están ejecutando actualmente como “actualizado”:

SFOS 21.5 GA (02.06.2025): Notas de la versión: SFOS 21.5
SFOS 21.5 MR2 (Build 323, 18.02.2026): Según las notas de la versión, la última 21.5 en este período.
SFOS 22.0 GA (Diciembre de 2025) y v22 GA Re-Release (Build 411, 20.01.2026): Notas de la versión: SFOS 22.0

Estos son GA (General Availability) y Maintenance Releases, no “nightlies” al azar.

Para asegurarnos de que esta comparación no se basa solo en sentimientos, aquí hay un rápido control de la realidad.

Fortinet: CVEs de FortiOS desde noviembre de 2025 (A fecha 26.02.2026)

Período: 01.11.2025 a 26.02.2026 (Fecha de publicación). Fuente: Avisos PSIRT de Fortinet (Resumen PSIRT).

Omito deliberadamente listar “todo Fortinet” aquí, sino solo los avisos relevantes para FortiOS/FortiGate en este período, porque en la práctica, ese es el dolor: tienes que parchear, planificar, probar.

El CVSS no lo es todo, pero hace visible el contraste operativo: Un nivel Medio con 5.x suele ser planificable, un 9.x se convierte rápidamente en un escenario de “deja todo y parchea”.

Publicado el 10 de febrero de 2026 (Múltiples avisos el mismo día)

FG-IR-25-667 (CVE-2025-55018, CVSSv3 5.2): Request smuggling en la GUI de FortiOS. Desagradable también porque involucra “unlogged requests”.
FG-IR-25-795 (CVE-2025-64157, CVSSv3 6.7): Problema de Format-String en el modo CAPWAP Fast-Failover (Admin/Config como desencadenante).
FG-IR-25-1052 (CVE-2026-22153, CVSSv3 7.5): Bypass de autenticación LDAP en Agentless VPN/FSSO (Workaround en la práctica a menudo: deshabilitar el unauthenticated bind en el servidor LDAP).
FG-IR-25-934 (CVE-2025-68686, CVSSv3 5.3): SSL VPN Symlink Persistence Patch Bypass. Importante para el contexto: Según el aviso, requiere compromiso previo a través de otra vulnerabilidad a nivel del sistema de archivos.
FG-IR-25-384 (CVE-2025-62439, CVSSv3 3.8): Policy Bypass en el Agente FSSO Terminal Services (La solución es una combinación de la versión de FortiOS y la versión mínima del Agente TS).

Enero de 2026

FG-IR-26-060 (CVE-2026-24858, CVSSv3 9.4), publicado 27.01.2026: Bypass de autenticación SSO administrativa en FortiCloud. El aviso también describe la explotación “in the wild” y las contramedidas específicas.
FG-IR-25-084 (CVE-2025-25249, CVSSv3 7.4), publicado 13.01.2026: Heap-based buffer overflow en el demonio cw_acd (FortiOS/FortiSwitchManager).

Publicado el 9 de diciembre de 2025

FG-IR-25-647 (CVE-2025-59718, CVE-2025-59719, CVSSv3 9.1): Bypass de autenticación FortiCloud SSO Login a través de mensaje SAML manipulado (Característica no obligatoria por defecto, pero real en el entorno).
FG-IR-25-411 (CVE-2025-62631, CVSSv3 5.3): Insuficiente caducidad de sesión en SSL VPN (Tiempo de vida de la sesión/Caso extremo de cambio de contraseña).
FG-IR-24-268 (CVE-2024-47570, CVSSv3 6.3): Información sensible termina en los Logs de la API REST (si el logging de la API REST está activo).
FG-IR-24-133 (CVE-2024-40593, CVSSv3 5.9): La clave privada puede ser leída por un Admin (Error de gestión de claves, solucionable mediante parche).

Publicado el 18 de noviembre de 2025

FG-IR-25-358 (CVE-2025-53843, CVSSv3 6.9): Stack buffer overflow en el demonio CAPWAP.
FG-IR-25-632 (CVE-2025-58413, CVSSv3 6.9): Otro Stack buffer overflow en el demonio CAPWAP.
FG-IR-25-545 (CVE-2025-54821, CVSSv3 1.8): Bypass de Trusted hosts a través de SSH (Caso extremo de CLI).

Sí, es mucho. Y sí, eso se puede manejar con procesos (Ventana de parches, Staging, Gestión de cambios, Ventanas de mantenimiento).

Y luego viene el otro lado.

Sophos: Sin titulares, pero las operaciones están en llamas

Con Sophos, por supuesto, también hablamos de seguridad. Pero lo que realmente nos está consumiendo tiempo ahora mismo son simplemente los bugs.

Actualmente tenemos tanto trabajo innecesario en la empresa porque el firewall está causando problemas constantemente. Y en algún momento, te descubres a ti mismo haciendo una pregunta que en realidad es absurda:

¿Qué prefiero: un firewall con una vulnerabilidad de seguridad que funciona de forma estable, o un firewall sin grandes titulares sobre CVEs que no vuelve a arrancar después de un reinicio?

Este no es un debate académico. Esto es Operaciones. Lamentablemente, ahora mismo casi prefiero una vulnerabilidad de seguridad teórica que podría ser explotada en algún momento a un cliente cuya red está completamente caída durante varias horas debido a un bug trivial.

Nuestros puntos de dolor actuales (Sí, todos a la vez)

Y para ser claros: Estos son solo los bugs que hemos tenido múltiples veces y en diferentes sistemas en los últimos meses. Es simplemente agotador y frustrante cuando las operaciones se convierten en un proyecto. Especialmente cuando terminas de nuevo en el carrusel de Soporte de Sophos, y les gusta fingir que eres “el primer y único cliente en todo el mundo con exactamente este problema”. No, no lo somos.

El firewall a veces no arranca limpiamente después de un reinicio.
El clúster HA se deshace o se comporta como un cerebro dividido (split-brain).
El logging de repente es poco fiable (o desaparece por completo).
Los certificados de Let’s Encrypt no se renuevan y tienes que solucionarlo manualmente por la noche.
Falta una interfaz o de repente ya no es visible en la GUI.
Los SSD mueren (hardware dañado).
El inicio de sesión de WebAdmin se bloquea por completo: ya no se puede iniciar sesión, a menudo solo un reinicio lo soluciona.
Las interfaces desaparecen de repente por completo de la configuración.
El disco de logs se llena, lo que provoca la aparición de mensajes de error o que los servicios afectados se detengan directamente.

Lo que dice la comunidad (¡No estás solo!)

Si echas un vistazo a la comunidad de Sophos (a principios de 2026), la imagen de disminución de la calidad se alinea lamentablemente con nuestras experiencias. Además de nuestros problemas, otros usuarios se están encontrando con bloqueos aún más severos en v21.5 / v22:

Perfiles SSL VPN rotos (v22.0 Build 411): Algunos usuarios informan de que después de actualizar a la última v22, la creación de perfiles SSL VPN falla. A veces tuvieron que volver a v21.5 porque la nueva versión es simplemente demasiado defectuosa.
SNAT roto / Acceso a servidor web (v22.0 Build 365): Hay informes de que después de la actualización, el acceso a servidores web internos desde el exterior se interrumpe. A menudo, el enrutamiento de Internet deja de funcionar por completo hasta que el SNAT se restablece manualmente a la opción MASQ predeterminada.
Spam en la CLI / “Invalid rule id”: Advertencias masivas como “Invalid rule id or family for update” aparecen en la consola. (Esto parece ser “solo” un error de visualización, pero inunda los logs sin sentido).

Y lo amargo de todo esto: Cada una de estas cosas no es solo molesta, es un riesgo masivo. Si faltan los logs, estás volando a ciegas. Si el HA es inestable, pierdes la confianza en la conmutación por error. Si los certificados no se renuevan, construyes workarounds. Y los workarounds son el caldo de cultivo para incidentes posteriores.

Bugs de Sophos (v21.5 a v22): Impactando directamente en tus síntomas

Enumero deliberadamente NC-IDs específicos de las notas de la versión oficiales o Known Issues documentados oficialmente aquí para que tú, como administrador, puedas rastrearlos claramente.

TL;DR: Síntoma -> Lo que dicen las notas

Síntoma en Operaciones	Ejemplos de Release Notes / Known Issues
El arranque/reinicio no sube limpiamente	NC-151715, NC-152641, NC-123910
HA inestable o escala durante la conmutación por error	NC-142962, NC-132291, NC-147307, NC-147739, NC-149039
Logs/Informes desaparecidos o poco fiables	NC-158526, NC-160962, NC-157663, NC-169237, NC-135594, NC-175936, NC-170292, NC-166381
Let’s Encrypt/WAF causando estrés	NC-148937, NC-152022, NC-140663, NC-141062, NC-152540, NC-146082, NC-159041
Entra SSO/Captive Portal/VPN Portal con problemas	NC-167126, NC-157635, NC-167130, NC-167128
VPN/IPsec no levanta o la interoperabilidad se rompe	NC-136352, NC-128116
Caídas de tráfico sin causa clara de reglas	NC-169842 (y tener en cuenta el IPS/Snort como causa tras las actualizaciones)
Interfaz “desaparecida” (UI)	Known Issue: Los nombres de interfaces con 10+ dígitos hacen que las interfaces sean invisibles en la vista de WebAdmin

Una historia de frustración desde Operaciones

Nos sentamos por la mañana a hacer lo de siempre: trabajar en los tickets, planificar cambios, leer el monitoring.

Y luego el firewall llama a la puerta, sin llamar.

No con un CVE, no con un “Critical Advisory”. Sino con la cotidianidad.

Primer café, primer reinicio, y la pregunta en tu cabeza: ¿Volverá a subir o no?

Si las cosas van bien, sube. Si las cosas van mal, aterriza en algún lugar entre “Failsafe” y “vivo, pero no procesando tráfico”. Y mientras todavía te preguntas si realmente necesitas usar la consola de nuevo, se abre el siguiente capítulo.

HA. Tu airbag. Y a veces parece que el airbag se despliega al aparcar.

Luego el logging. Todos lo sabemos: Si no puedes ver lo que sucede, no puedes controlarlo. Y de repente faltan los logs, los informes están vacíos o un servicio se despide. Te quedas preguntándote si actualmente tienes un problema de seguridad, un problema de calidad de datos o ambos.

Y luego viene el showstopper: WAF, Reverse Proxy, Let’s Encrypt.

Ni siquiera quieres hacer florituras. Solo quieres que los certificados se renueven y que tus sitios web no griten “connection refused” a las 02:13 AM.

Y como bono, una interfaz “desaparece”. No realmente desaparecida, solo desaparecida en la interfaz de usuario. El tráfico puede que incluso esté funcionando, pero no puedes ver lo que necesitas para debugear.

En algún momento, te haces esta pregunta que es realmente absurda:

¿Qué prefiero: un firewall con una vulnerabilidad de seguridad que funciona de forma estable, o un firewall sin grandes titulares sobre CVEs que operativamente quema nuevos agujeros en mi suelo cada semana?

1) Boot, Reboot, Upgrade: “Está vivo, pero no trabaja”

Si un firewall no sube limpiamente después de un reinicio, no es solo “tiempo de inactividad”. Es un día perdido más riesgo, porque en una situación así, tiendes a hacer cosas que de otra manera nunca harías.

Algunos ejemplos de las Release Notes de SFOS 21.5:

Failsafe durante el reinicio: NC-151715 (Firmware Management): El dispositivo auxiliar entró en Failsafe durante el reinicio; falló el reinicio.
El tráfico se detiene después de la actualización: NC-152641 (Firmware Management): Tras la actualización (21.0 MR1 Build 237), no se procesó más tráfico (Cambios en la configuración de SWAP Memory).
Kernel Panic: NC-123910 (Firewall): Kernel panic issue.

Y sí: SFOS 22.0 introduce un factor de actualización adicional: Sophos señala en las notas de la versión que la v22 trae cambios arquitectónicos y que en casos raros pueden ser necesarios pasos manuales adicionales. Este es exactamente el tipo de caso límite de actualización que duele en las operaciones.

2) HA: El airbag que se despliega al aparcar

El HA (Alta Disponibilidad) es tu red de seguridad. Y es por eso que duele tanto cuando los casos límite escalan justo ahí.

De las Release Notes de SFOS 21.5 (Selección):

HA Event Tracking se detiene en reinicios simultáneos: NC-142962 (HA).
Subida de firmware en el Pasivo se cuelga: NC-132291 (HA).
Failover conduce a Restart Loop: NC-147307 (HA) (en las notas explícitamente, por ejemplo, XGS 2300).
La sincronización falla después de un corte de energía: NC-147739 (HA).
El estado de HA aletea, Crash Dump en enlace dedicado: NC-149039 (HA).

3) Logging y Reportes: Cuando vuelas a ciegas

Esta es la verdadera razón por la que los “bugs” no son solo “operaciones”. Cuando el logging o los reportes son inestables, es un problema de seguridad.

De las Release Notes de SFOS 21.5 (Selección):

El Logging/Reporting se detiene esporádicamente; Garner falla con frecuencia: NC-158526 (Logging Framework).
Garner y fwcm-heartbeatd se detienen: NC-160962 (Logging Framework).
Después de la actualización: no hay más reportes: NC-157663 (Logging Framework).
El visor de registros (Log Viewer) pierde eventos debido a la corrupción de la base de datos: NC-169237 (Logging Framework).
Syslog fd corruption, los datos van al FD equivocado: NC-135594 (Logging Framework).

Además, encontrarás algunas cosas en la lista de problemas conocidos (KIL) de Sophos que son igual de dolorosas en el día a día:

El visor de registros no muestra nuevos datos (falta active.db): NC-175936 (Logging Framework). En algunos sistemas 21.5.1, puede faltar el active.db en /tmp/eventlogs/. Luego el Log Viewer se “congela”, aunque las funciones de tráfico y seguridad siguen ejecutándose. Según KIL, esto se solucionó en la v22 y debería incluirse en una corrección para la 21.5 MR2.
Falso positivo “advanced threat detected” en HA: NC-170292 (Logging Framework). Sophos Central puede enviar una alerta en implementaciones de HA, incluyendo logs crudos en la descripción. Solución alternativa según KIL: reiniciar el servicio Garner. KBA: https://support.sophos.com/support/s/article/KBA-000043672
ReportDB_v9 se muestra STOPPED (parece dramático, pero no lo es): NC-166381 (Reporting). Tras actualizar a v21.0 GA o posterior, el servicio aparece como STOPPED tras un periodo de tiempo muy específico. Según KIL, esto es lo esperado y no tiene impacto operativo porque solo afecta al reporting heredado anterior a v21.

Y aquí viene el “Factor Sophos Central”: Si utilizas Central como tu “Single Pane of Glass”, un problema de registro duele el doble. Si el canal de registro local (Garner/DB) falla, la subida hacia el Central Firewall Reporting (CFR) también puede fallar o colgarse. Y de todos modos, CFR no siempre funciona “en tiempo real”. Es decir: En el peor de los casos, no solo te faltan registros locales, sino exactamente esa visión centralizada en la que querías apoyarte.

4) WAF y Let’s Encrypt: Servicio público, pero sin dramas por favor

Cuando los certificados no se renuevan y el proxy inverso se vuelve loco, no se trata de un “pequeño bug”. Es un Impacto directo al Cliente.

En las notas de la versión de SFOS 21.5 encontrarás toda una familia de problemas con WAF/Let’s Encrypt:

La creación del certificado Let’s Encrypt falla: NC-148937 (WAF).
El Request a LE falla porque falta la regla automática del cortafuegos: NC-152022 (WAF).
Una configuración inválida de LE hace que el Reverse Proxy se reinicie constantemente: NC-140663 (WAF).
ACME no emite certificados para IPs: NC-141062 (WAF).
La regla WAF se enciende o apaga sola: NC-152540 (WAF).

Y luego están los temas que “parecen bugs, pero son una cuestión de seguridad”. Ejemplo en KIL:

Barras inclinadas codificadas (%2F) en URLs: WAF devuelve un 404: NC-159041 (WAF). Si tu aplicación usa barras inclinadas codificadas en la URL, Apache las bloquea por defecto (la directiva AllowEncodedSlashes es No por defecto) y ves un 404, aunque el backend “realmente” tenga esa ruta. Contexto: las barras codificadas pueden evadir las restricciones de ruta (ejemplo clásico: .../something%2F..%2Fadmin). Detalles: https://httpd.apache.org/docs/2.4/mod/core.html#allowencodedslashes

Y si quieres saber cómo se ve eso en la vida real: En este hilo de la comunidad, alguien describe que después de actualizar a 21.5.x, los certificados de renovación automática “desaparecieron”, el WAF no arrancó y los sitios web cayeron con ERR_CONNECTION_REFUSED. La solución final fue: limpieza de las Reglas de Protección Web y eliminar los CSR defectuosos de LE, tras lo cual volvió a funcionar. (Hilo: WAF/Let’s Encrypt tras la actualización, ERR_CONNECTION_REFUSED).

Y a veces ni siquiera es un “bug”, sino un proceso: En la comunidad de Sophos también hubo casos donde los Términos de Servicio de Let’s Encrypt estaban marcados como caducados en WebAdmin y había que aceptarlos de nuevo. (Hilo: Let’s Encrypt Terms of Service have expired).

Otro clásico de las “trampas en la actualización” en la lista de problemas conocidos: Una actualización puede fallar si un certificado existente a bordo lleva el mismo nombre que los certificados de Let’s Encrypt recién introducidos en el almacén de CA (NC-146082).

5) “Falta una interfaz” (o simplemente es invisible)

Este es el tipo de error que suena inofensivo en las notas de la versión, pero que en la práctica te obliga a volar a ciegas.

Documentado oficialmente como un problema conocido (Known Issue):

Si una interfaz física o lógica en SFOS 21.5 GA y versiones posteriores tiene un nombre que termina con 10 o más números (Ejemplo en las notas: VLAN_1234567890), entonces las interfaces físicas no son visibles en WebAdmin en Red > Interfaces, o las interfaces lógicas no se pueden desplegar. Importante: Según las Release Notes, la función en sí no se ve afectada, solo su visualización en la consola WebAdmin.

Conclusión provisional (hasta aquí): El arranque, las actualizaciones, el HA, el registro, el WAF/Let’s Encrypt e incluso la UI pueden hacerte tropezar simultáneamente. A partir de aquí vienen temas que inicialmente parecen “detalles de red” pero que operativamente son igual de costosos: Entra SSO, interoperabilidad VPN y caídas de tráfico aparentemente aleatorias.

6) Identidad/SSO (Entra) y Portal Cautivo: Cuando el acceso parece “aleatorio”

Esta es la categoría de errores que resulta particularmente perversa en las operaciones: Para el usuario final, parece que “su cuenta está fallando”. Para ti, parece “que es solo SSO”. En realidad, a menudo es el firewall el que está en medio.

Algunos problemas abiertos del KIL cuando Microsoft Entra ID (Azure AD) está en tu mezcla:

Sophos Connect VPN: El Acceso Condicional no está totalmente soportado: NC-167126 (Autenticación). Después del primer desafío MFA en el inicio de sesión inicial, las comprobaciones de acceso condicional no se desencadenan necesariamente en cada conexión posterior. Según el KIL, la aplicación de la política no vuelve a ocurrir hasta que el usuario cierra sesión manualmente en el cliente Sophos Connect.
VPN SSO: El UPN y el correo electrónico difieren y el inicio de sesión se rompe: NC-157635 (Autenticación). Si el ID de correo electrónico y el UPN en Entra son diferentes, los usuarios pueden acceder al portal VPN, pero no al portal SSL VPN o IPsec. Causa según KIL: el encabezado OAuth proporciona el correo electrónico, que luego se interpreta como UPN.
Portal Cautivo: Los usuarios de Entra SSO necesitan el Grupo Principal en la regla: NC-167130 (Autenticación). El acceso a Internet solo funciona si utilizas el Grupo Principal en la coincidencia de reglas del firewall (los grupos secundarios no cuentan aquí). Solución según KIL en “próximas versiones de mantenimiento”; Workaround: hacer coincidir explícitamente el grupo principal o usar reglas basadas en el usuario.
Errores ocasionales de “sin permiso” con Entra SSO: NC-167128 (Autenticación). Puede ocurrir cuando la autenticación de ID de Entra y la autenticación local de AD se usan en paralelo (reutilización de tokens). Workarounds según KIL: borrar las cookies del navegador o “forzar el reinicio de sesión” en el cliente Sophos Connect. Alternativamente, utiliza un método de autenticación de forma coherente.

7) Interoperabilidad VPN/IPsec: Las actualizaciones suelen fallar por el “Oponente”

Dos temas del KIL que no empezaron con la 21.5, pero que siguen siendo relevantes en 21.5/v22 en cuanto tienes clientes antiguos o endpoints remotos en tu entorno:

IPsec IKEv2: El túnel no sube (Fragmentación/PMTU): NC-136352 (IPsec). A partir de la 20.0 MR1, el perfil predeterminado IKEv2 puede generar paquetes más grandes (más campos predeterminados), a veces de más de 1500 bytes. Si la fragmentación/PMTU en la ruta es deficiente (se descartan fragmentos), el túnel S2S no se levantará. Mitigación según KIL: reducir los grupos DH en el perfil IPsec (mínimo 4) o configurar exactamente los grupos utilizados por el extremo remoto.
SSL VPN/OpenVPN 2.6.0: Incompatibilidad con clientes EoL/UTM9: NC-128116 (SSLVPN). A partir de la 20.0 MR1, OpenVPN está en la 2.6.0. Esto rompe los SSL VPN de sitio a sitio con versiones antiguas de SFOS (18.5 y anteriores), clientes antiguos de SSL VPN (EoL) y el SO UTM9, entre otros. Recomendación según KIL: actualizar ambos lados o cambiar a IPsec/RED; Remotos: usar Sophos Connect o clientes actuales de OpenVPN.

8) Caídas de tráfico sin salto de reglas: Accurate ECN como una causa desagradable

Cuando el tráfico parece caer aleatoriamente, lo primero que compruebas son las reglas, el IPS, la inspección TLS y el enrutamiento. Y después de actualizar el firmware, un clásico se suma a la lista: El motor IPS (Snort) o las firmas se vuelven más estrictos, bloquean el tráfico legítimo y no encuentras inmediatamente un evento claro en los logs. Te pasas horas depurando “enrutamiento” o “reglas”, cuando al final resulta ser trabajo de políticas o ajustes.

Sin embargo, el KIL también tiene un candidato que puede mantenerte ocupado por mucho tiempo si no lo tienes en tu radar:

Caída de tráfico debido a Accurate ECN Bits: NC-169842 (Firewall). Accurate ECN establece los bits TCP (ECE/CWR/NS) de forma diferente (RFC 7560). Según el KIL, el kernel lo interpreta como un “reserved bit set” y descarta el tráfico. Para acotar, ayuda echar un vistazo al lado del cliente: En la práctica, esto podría notarse más en kernels recientes de Linux o en clientes de Apple, porque tienden a utilizar RFC 7560/Accurate ECN de manera más activa ("¿por qué se echa fuera a los MacBooks?"). RFC: https://www.rfc-editor.org/rfc/rfc7560

9) v22 GA Re-Release Build 411: Por qué fue necesario en primer lugar

El 20 de enero de 2026, Sophos empujó v22 GA como un relanzamiento (Build 411) para solucionar “problemas raros y aislados”. La lista se lee como los mejores éxitos del “trabajo innecesario en la ventana de cambios” (Fuente: Post de la comunidad de Sophos sobre el Re-Release):

NC-171003: WebAdmin inaccesible a través de la interfaz Bridge con filtrado VLAN.
NC-170987: Spam en CLI del tipo “Invalid rule id or family for update”.
NC-170970: El tráfico DNAT falla si la regla DNAT tiene una interfaz de salida específica.
NC-171600: El widget SSL/TLS y los datos del gráfico de sesiones son incorrectos/vacíos.
NC-172197: No se puede añadir ninguna configuración SNMP.

Blogpost: v22 GA re-release (Build 411) is now available.

El daño real: Los bugs encarecen la seguridad

La cuestión no es si “los bugs son peores que los CVEs” o viceversa.

El punto es: Cuando tu entorno operativo se tambalea, la seguridad se resiente automáticamente.

Retrasas las actualizaciones porque tienes miedo al siguiente bug de regresión.
Desactivas funciones (“ahora mismo no las necesitamos”) porque causan estrés.
Pierdes observabilidad (logs), lo que implica lentitud en la respuesta.
Inviertes el tiempo apagando incendios en lugar de hacer segmentación, copias de seguridad y crear reglas limpias.

Y un aspecto que se subestima completamente en la práctica: Time-to-Resolution (Tiempo de resolución). Ante un CVE, normalmente tienes un aviso, una mitigación y un parche. Ante un bug, la carga de la prueba recae de repente sobre el administrador: capturas tcpdump, logs CTR, exportaciones por consola avanzada, “¿ya has probado a reiniciar?” – todo esto mientras el entorno de producción arde. Y sólo entonces entras en el carrusel de soporte: escalar la incidencia, esperar por un parche de urgencia (hotfix) o a la próxima versión MR (Maintenance Release). Eso devora horas operativas adicionales con las que no contabas.

Y por esa razón, preguntarse “Preferible una vulnerabilidad, ¿pero que sea estable?” es muy humano, pero en realidad es un callejón sin salida:

No solo “la vulnerabilidad” es un riesgo. “El firewall inestable” es en sí mismo un problema de seguridad.

Qué podemos sacar de esto (Para que no estalle por completo)

Algunas cosas que nos ayudan a frenar la locura sin tener que inventar la rueda cada semana:

Pruebas antes de actualizar (Upgrade-Preflight)

Trata las copias de seguridad como si fuesen restauraciones: Exporta la configuración, haz backups offline, y prueba la restauración al menos una vez.
El estado “verde” del HA no basta – ¡haz pruebas de failover! Según la interfaz, todo el sincronismo y el latido (heartbeat) iban bien. Pero a la hora de la verdad, la unidad auxiliar (Auxiliary Appliance) no tomó el control como debía. Un simple tic verde en WebAdmin lamentablemente hoy en día no es garantía de que funcione durante la ventana de mantenimiento.
Verifica el logging: Comprueba que el Syslog/Collector externo reciba los eventos, sin huecos de información, y que el tiempo/NTP sea el correcto.
Chequea los certificados y el WAF: Fechas de caducidad, validaciones de Let’s Encrypt y un certificado de respaldo como Plan B.
Haz pruebas a fondo de SSO y VPN: Acceso a Entra, Captive Portal, Sophos Connect, SSL VPN, IPsec S2S (incluido el failover) deben contar con casos de prueba propios.
Plan “Romper el cristal” a mano: Acceso por consola o banda fuera del canal (Out-of-band), credenciales de administradores locales e imágenes del firmware preparadas para hacer rollback.
No te olvides del Dual-Boot (y tampoco te fíes en exceso de él): Sophos cuenta con dos particiones para el firmware. Si una actualización sale mal, el rollback a la 21.5 suele resolverse con un reinicio eligiendo la otra partición. Pero cuidado: a veces la segunda partición tampoco arranca bien y la única salida es un Reimage completo (algo que el soporte técnico suele pedir muy rápido). E incluso un Reimage no siempre soluciona la causa de fondo.

Durante la actualización (Cuando hay Alta Disponibilidad)

Primero el equipo pasivo/secundario, después failover y finalmente el activo.
Haz una breve validación tras cada paso: Tráfico, VPN, DNS, Logging, WAF/Reverse Proxy.

En el día a día operativo

No te limites a configurar el HA, ponlo a prueba: Realiza simulacros de failover y define criterios claros sobre cuándo se debe dividir (split) un clúster.
Trata el logging como si fuera un producto en sí: Crea alertas cuando haya cortes en los logs, monitoriza el estado del servicio y ten preparado un método de exportación de emergencia por consola (CLI) si la interfaz gráfica se cuelga.
Monitoriza los certificados de forma activa: Renovar los certificados no es un “lujo”, sino un riesgo en tus operaciones. Trata los cambios en los Términos de Servicio (ToS) con el mismo cuidado que un cambio en la infraestructura.
Usa el Health Check como orientación, no como un indicador clave (KPI): En la versión 22, Sophos ha introducido el “Health Check” (tienes más detalles en mi artículo Sophos Firewall v22 Health Check - Visión general completa ). Como lista de verificación de buenas prácticas está bien, pero a veces parece que se limite a “poner interruptores en verde”. Ejemplo práctico: mucha gente activa el mensaje de exención de responsabilidad en el inicio de sesión solo para conseguir la marca verde en el Health Check. Sin embargo, echo en falta indicadores duros operativos allí: “¿está sana la base de datos de logs?” o “¿cómo están los discos SSD?”, especialmente porque algunos dispositivos mostraron problemas de almacenamiento antes de lo previsto.

Conclusión: Cuando la herramienta se vuelve un riesgo

Al fin y al cabo, estamos todos en el mismo barco. Gestionamos infraestructuras críticas y tenemos que confiar en que las herramientas que deberían protegernos del caos no sean, precisamente, las que lo provoquen. Sophos, con su actual calidad en el firmware (v21.5 / v22), definitivamente tiene que hacer los deberes a lo grande. La confianza en sus “versiones estables” se ha resquebrajado fuertemente entre nosotros y en buena parte de la comunidad.

No quiero un firewall que sea “o seguro o estable”. Lo que quiero (y de hecho, lo que necesito) es un firewall que sea las dos cosas.

Hasta que Sophos recupere el control sobre estos fallos de calidad, a nosotros, en el área operativa, solo nos queda una opción: Volvernos aún más disciplinados, dejar de darle importancia al “check verde” de la interfaz gráfica, y tratar los simples bugs dentro de nuestras planificaciones con la misma gravedad que si fuesen CVEs críticos.

Hasta la próxima,
Joe