trueNetLab ⚡️
Sophos Firewall v22 MR1: aggiornare ora o aspettare?

Sophos Firewall v22 MR1: aggiornare ora o aspettare?

8 min read
Network Sophos Security

Indice dei contenuti

Con Sophos Firewall v22 MR1, il 20 aprile 2026 è finalmente arrivato il primo maintenance release della linea v22. E, onestamente, molti amministratori aspettavano proprio questa versione.

Fin dall’inizio v22 sembrava ambiziosa sul piano tecnico. Secure by Design, Health Check, una base di control-plane più solida, kernel più rigido e più profondità di audit. Sulla carta sembrava promettente. Nella pratica, il lancio è stato complicato. Ne ho già scritto in un precedente articolo sui bug di Sophos Firewall dalla v21.5 alla v22 .

Per questo MR1 non è semplicemente “la prossima release”. È il momento in cui molti team iniziano a chiedersi se v22 sia finalmente un candidato serio per la produzione.

La mia risposta breve è: per alcuni ambienti, sì. Alla cieca e senza test, ancora no.

I Punti Più Importanti

  • v22 MR1 è il Build 490 e corregge molti problemi reali che erano ancora presenti in v22 GA e nel re-release Build 411.
  • Le aree più importanti sono policy-based IPsec, routing su bridge dopo l’upgrade, stabilità HA, casi limite di PPPoE, WAF, SSL VPN e diversi temi di autenticazione.
  • Allo stesso tempo MR1 mantiene avvisi chiari: legacy remote access IPsec sparisce, i controlli sullo spazio disco contano ancora e l’hardware XG/SG resta non supportato.
  • Se siete già su v22 e bloccati da problemi concreti, MR1 merita attenzione seria.
  • Se siete stabili su 21.5, io continuerei a testare bene prima di aggiornare per impulso.

Perché MR1 Conta Così Tanto

Quando un vendor pubblica un major release, poi un re-release e poco dopo il primo maintenance release, di solito questo dice già molto. Con Sophos è andata esattamente così.

La v22 GA originale Build 365 è stata sostituita a gennaio 2026 dal GA re-release Build 411. Lì Sophos aveva già corretto vari problemi fastidiosi: accesso WebAdmin su bridge, DNAT con interfacce di uscita specifiche, spam CLI con Invalid rule id or family for update, SNMP rotto e problemi nel policy test. È stato utile, ma non dava ancora vera tranquillità.

MR1 assomiglia di più alla versione che molti probabilmente si aspettavano da v22 sin dall’inizio: meno slide marketing, più pulizia operativa.

Cosa Migliora Davvero in v22 MR1

Il valore di MR1 non è una grande funzione nuova. Sta nel fatto che Sophos riduce l’attrito in più aree contemporaneamente.

Policy-Based IPsec Riceve Finalmente Attenzione

Chi usava policy-based IPsec su v22 GA aveva buone probabilità di incontrare problemi. Nelle release notes ufficiali, Sophos elenca più correzioni proprio in quest’area: tunnel mostrati come attivi ma senza traffico reale, interfacce errate nei lookup diagnostici, SNAT sbagliato su MPLS e accesso WebAdmin dei firewall di branch che si rompeva dopo l’upgrade.

Per me questo è il blocco più importante di MR1. I problemi VPN non sono mai “solo un dettaglio”. Appena site-to-site, accesso alle sedi o percorsi SD-WAN dipendono da questo, un bug di firmware diventa rapidamente un problema operativo vero.

Bridge, Routing e Firewall Sono Stati Ritoccati

MR1 corregge anche diversi problemi che fanno male subito nelle reti reali. Sophos cita tra gli altri:

  • subnet irraggiungibili su interfacce bridge dopo upgrade a v22 GA
  • problemi di ping sulla WAN di backup in diagnostica
  • cambi di stato HA inattesi con successivi riavvii
  • problemi PPPoE nel policy test
  • errori nell’export delle regole firewall

Sulla carta sembrano diversi piccoli bug. Nella pratica sono esattamente quel tipo di bug che rende più costose del necessario le finestre di manutenzione.

Anche WAF, SSL VPN e Autenticazione Migliorano

MR1 include fix in aree che, per molte aziende, non sono affatto opzionali. Sophos menziona per esempio:

  • disattivazione del CAPTCHA nella zona VPN che non funzionava correttamente per gli utenti SSL VPN in v22 GA
  • Azure AD SSO per il user portal che portava a una pagina 404
  • problemi con OAuth, certificati e API/MFA
  • riavvii periodici del servizio SSL VPN in alcuni scenari
  • problemi nel download di configurazioni IPsec mobili per permessi certificato errati

Se avete utenti esterni, client VPN o applicazioni pubblicate via WAF, MR1 rimuove diversi inciampi operativi.

HA e Storage Restano Temi Importanti

Trovo importante anche che Sophos continui a lavorare sulla stabilità generale nel ciclo MR1. Ci sono fix per il recupero HA dopo perdita di corrente, registrazione HA in Sophos Central, traffico di sistema su link dedicati, errori di upgrade sui nodi passivi e carichi elevati legati a logging e disco.

Non è marketing sexy. Proprio per questo è rilevante.

Cosa MR1 Non Risolve

Eviteri di raccontare la favola secondo cui MR1 rende improvvisamente tutto verde. Non è così. Questa versione ha ancora punti che vanno controllati con attenzione prima dell’upgrade.

Legacy Remote Access IPsec Ora È un Blocco Reale

Questo è probabilmente l’avviso più importante delle release notes attuali. Sophos dichiara esplicitamente che la variante legacy di remote access IPsec non è più supportata in SFOS 22.0 MR1. E soprattutto: i firewall che la contengono ancora non possono essere aggiornati a MR1.

Se vi portate dietro vecchie configurazioni remote access con client di terze parti, non limitatevi a leggerlo di sfuggita. Controllatelo davvero. Altrimenti un “facciamo velocemente l’MR stasera” può trasformarsi in una finestra di manutenzione inutilmente lunga.

Spazio Disco e Root Resize Restano Importanti

Anche il secondo grande tema noto di v22 rimane: lo spazio aggiuntivo. Sophos continua a indicare che SFOS 22.0 e versioni successive richiedono più spazio e che alcuni appliance o ambienti virtuali necessitano di preparazione manuale prima dell’upgrade.

Anche quando lo spazio è sufficiente, l’upgrade può richiedere più tempo perché la partizione root viene ridimensionata. Sophos parla di due fino a dieci minuti in più. In un piccolo ufficio è una nota marginale. In HA produttivo o finestre strette, è un dettaglio di pianificazione vero.

XG e SG Restano Fuori

Non è una novità, ma va ribadito: SFOS 22.0 GA e versioni successive, incluso MR1, non supportano più l’hardware XG e SG. Se avete ancora appliance più vecchi in laboratorio o in sedi remote, non volete scoprirlo durante l’upgrade.

Policy-Based IPsec Richiede Ancora Prudenza

Proprio perché MR1 corregge diversi problemi di policy-based IPsec, per me questo è anche un motivo di prudenza. Se trasportate rotte particolari, MPLS, branch routing, peer di terze parti o accesso amministrativo in questi tunnel, allora testate MR1 esattamente lì.

Vedere un tunnel in verde non basta. Quello che conta è che traffico reale, percorso di ritorno, comportamento SNAT, diagnostica, accesso GUI e failover si comportino davvero come previsto.

La Mia Valutazione Pratica

Se riduco tutto alla domanda che molti si stanno facendo ora, è questa:

v22 MR1 è il primo candidato ragionevole per chi ha saltato v22 a causa di GA e Build 411?

Io direi di sì, in molti casi.

Non perché Sophos sia diventata improvvisamente impeccabile. Ma perché MR1 ripulisce finalmente le aree in cui v22 faceva male nel quotidiano: bridge, IPsec, HA, auth, WAF, SSL VPN, logging e diverse stranezze di UI e routing.

Separerei comunque due gruppi in modo chiaro.

Chi Dovrebbe Guardarlo da Vicino

  • team già su v22 Build 411 bloccati da bug concreti
  • ambienti che aspettano alcune funzioni di v22 ma hanno frenato per l’instabilità iniziale
  • amministratori che vogliono un comportamento più pulito su policy-based IPsec o in certi flussi di autenticazione e portale

Chi Dovrebbe Restare Prima in Lab

  • installazioni 21.5 stabili senza pressione immediata per nuove funzioni
  • ambienti con legacy remote access IPsec
  • setup delicati con WAF, MFA o SSO
  • cluster HA che si sono già comportati male con firmware precedenti

Cosa Verificherei Prima dell’Upgrade

Prima di portare MR1 in produzione, controllerei questi punti:

  • verificare se legacy remote access IPsec esiste ancora nella configurazione
  • esportare i backup e ragionare seriamente sul percorso di restore
  • confermare spazio libero e possibili avvisi di resize
  • in HA, testare davvero il failover invece di fidarsi solo dello stato visivo
  • per policy-based IPsec, validare traffico reale e non soltanto lo stato del tunnel
  • per WAF, portali e SSL VPN, testare login, MFA, redirect e certificati con utenti reali
  • per PPPoE o scenari WAN specifici, validare policy test e flussi reali

E un punto in più: se fino a ora avete guardato v22 soprattutto attraverso il nuovo Health Check, non confondete il livello tecnico con quello operativo. L’Health Check di v22 è utile, e l’ho descritto in dettaglio qui: Sophos Firewall v22 Health Check - Complete Overview . Ma un Health Check verde non sostituisce un vero test di upgrade.

Conclusione

Dal mio punto di vista, Sophos Firewall v22 MR1 è la prima release della linea v22 che porta un amministratore a pensare “vale la pena valutarla seriamente” invece di “meglio aspettare ancora un po’”.

È un buon segnale. Ma non è magia.

Se state già soffrendo problemi su v22, MR1 merita attenzione seria. Se vivete serenamente su 21.5, non lasciate che il nome “maintenance release” crei falsa sicurezza. Questo upgrade richiede ancora preparazione, test e un vero piano B.

Io la tratterei esattamente così: né come emergenza né come no-brainer, ma per quello che è. Il primo candidato di upgrade davvero interessante dall’inizio accidentato di v22.

Alla prossima,
Joe

Sources

Related Posts

Sophos Firewall: Niente CVE, ma piena di bug (da v21.5 a v22)

Sophos Firewall: Niente CVE, ma piena di bug (da v21.5 a v22)

Anthropic Mythos e Project Glasswing: cosa attende la cybersicurezza

Anthropic Mythos e Project Glasswing: cosa attende la cybersicurezza

Operazione Epic Fury: Sophos avverte di rappresaglie informatiche globali

Operazione Epic Fury: Sophos avverte di rappresaglie informatiche globali

© 2026 trueNetLab

Cerca