Sophos Firewall: Tiada CVE, Tetapi Penuh dengan Pepijat (v21.5 hingga v22)

3 Mac 2026 • 21 min read

Jadual kandungan

Jika anda kini bekerja dalam bidang firewall, anda biasanya akan berhadapan dengan salah satu daripada dua masalah besar: Sama ada anda sentiasa tertekan kerana kerentanan kritikal (CVE, seperti yang berlaku pada Fortinet sekarang) dan menghabiskan malam anda melakukan patch - atau sistem meletakkan terlalu banyak halangan dalam operasi harian anda disebabkan oleh perisian tegar (firmware) yang tidak stabil dan pepijat (bugs) yang menjengkelkan (seperti Sophos sekarang) sehingga anda tidak dapat melakukan perkara lain.

Dalam pekerjaan saya di syarikat, perkara yang kedua ini adalah yang sedang berlaku - satu tekanan yang secara semula jadi kadangkala saya bawa pulang ke rumah. Titik kesakitan (pain point) utama kami pada masa ini bernama: Sophos Firewall.

Walaupun pesaing seperti Fortinet nampaknya mengeluarkan makluman PSIRT baharu setiap minggu, menyebabkan pentadbir (administrators) berputar dalam kitaran patch yang berterusan, Sophos sedang menelan masa kami secara besar-besaran. Bukan kerana kerentanan yang menjadi tajuk utama, sebaliknya kerana pepijat yang sangat biasa, tetapi kritikal dalam operasi harian.

Penafian (Disclaimer), supaya ini tidak kedengaran seperti membandingkan epal dengan oren: Saya sedar sepenuhnya bahawa Fortinet juga bergelut dengan pepijat besar (fikirkan Conserve Mode dan Memory Leaks dalam FortiOS 7.2/7.4/7.6) dan bahawa Sophos juga pernah mempunyai CVE yang teruk pada masa lalu. Walau bagaimanapun, dalam fasa v21.5/v22 semasa, situasi spesifik inilah yang menyakitkan kami: Pada satu vendor, ini adalah tentang patch CVE yang berterusan; manakala bagi Sophos, ia adalah kerja operasi (Ops-Work) yang tidak perlu yang disebabkan oleh masalah kestabilan.

Konteks Versi (Secara Ringkas)

Hanya untuk menjelaskan bahawa saya tidak menulis mengenai v19 lama yang berdebu, tetapi mengenai apa yang sedang digunakan oleh ramai orang pada masa ini sebagai “terkini”:

SFOS 21.5 GA (02.06.2025): Nota Keluaran: SFOS 21.5
SFOS 21.5 MR2 (Build 323, 18.02.2026): Menurut nota keluaran, ini adalah 21.5 terbaharu dalam tempoh ini.
SFOS 22.0 GA (Disember 2025) dan v22 GA Re-Release (Build 411, 20.01.2026): Nota Keluaran: SFOS 22.0

Ini adalah keluaran GA (Ketersediaan Umum) dan Penyelenggaraan (Maintenance), bukan “nightly builds” rawak.

Bagi memastikan perbandingan ini tidak hanya berdasarkan perasaan, berikut adalah pemeriksaan realiti ringkas.

Fortinet: CVE FortiOS sejak November 2025 (Setakat 26.02.2026)

Tempoh masa: 01.11.2025 hingga 26.02.2026 (Tarikh Diterbitkan). Sumber: Makluman PSIRT Fortinet (Gambaran Keseluruhan PSIRT).

Saya sengaja tidak menyenaraikan “semua Fortinet” di sini, tetapi hanya makluman berkaitan FortiOS/FortiGate dalam tempoh ini, kerana pada amalannya, di sinilah terletaknya kesakitan: anda mesti melakukan patch, merancang, menguji.

Skor CVSS bukanlah segalanya, tetapi ia menjadikan kontras operasi dapat dilihat: Tahap Sederhana (Medium) dengan 5.x selalunya boleh dirancang, manakala 9.x dengan pantas menjadi senario “tinggalkan segalanya dan lakukan patch”.

Diterbitkan pada 10 Februari 2026 (Beberapa makluman pada hari yang sama)

FG-IR-25-667 (CVE-2025-55018, CVSSv3 5.2): Request smuggling dalam GUI FortiOS. Ia juga tidak menyenangkan kerana melibatkan “permintaan yang tidak dilog (unlogged requests)”.
FG-IR-25-795 (CVE-2025-64157, CVSSv3 6.7): Masalah Format-String dalam mod CAPWAP Fast-Failover (Admin/Config sebagai pencetus).
FG-IR-25-1052 (CVE-2026-22153, CVSSv3 7.5): Pintasan Pengesahan (Authentication Bypass) LDAP dalam Agentless VPN/FSSO (Penyelesaian dalam amalan selalunya: lumpuhkan unauthenticated bind pada pelayan LDAP).
FG-IR-25-934 (CVE-2025-68686, CVSSv3 5.3): SSL VPN Symlink Persistence Patch Bypass. Penting untuk konteks: Menurut makluman, ia memerlukan kompromi sebelumnya melalui kerentanan lain pada tahap sistem fail.
FG-IR-25-384 (CVE-2025-62439, CVSSv3 3.8): Policy Bypass dalam Ejen FSSO Terminal Services (Pembaikan adalah gabungan versi FortiOS dan versi minimum Ejen TS).

Januari 2026

FG-IR-26-060 (CVE-2026-24858, CVSSv3 9.4), diterbitkan 27.01.2026: Administrative FortiCloud SSO Auth Bypass. Makluman ini juga menerangkan eksploitasi in the wild dan langkah balas khusus.
FG-IR-25-084 (CVE-2025-25249, CVSSv3 7.4), diterbitkan 13.01.2026: Heap-based buffer overflow dalam daemon cw_acd (FortiOS/FortiSwitchManager).

Diterbitkan pada 9 Disember 2025

FG-IR-25-647 (CVE-2025-59718, CVE-2025-59719, CVSSv3 9.1): Pintasan Pengesahan Log Masuk SSO FortiCloud melalui mesej SAML yang diubah (Ciri ini tidak diwajibkan secara lalai (default), tetapi wujud di lapangan).
FG-IR-25-411 (CVE-2025-62631, CVSSv3 5.3): Sesi Tamat Tempoh (Session Expiration) yang Tidak Mencukupi dalam SSL VPN (Jangka hayat sesi/Kes ekstrem penukaran kata laluan).
FG-IR-24-268 (CVE-2024-47570, CVSSv3 6.3): Maklumat sensitif berakhir dalam Log API REST (jika pengelogan API REST diaktifkan).
FG-IR-24-133 (CVE-2024-40593, CVSSv3 5.9): Kunci peribadi (Private key) boleh dibaca oleh Pentadbir (Ralat pengurusan kunci, boleh diperbaiki melalui tahap patch).

Diterbitkan pada 18 November 2025

FG-IR-25-358 (CVE-2025-53843, CVSSv3 6.9): Stack buffer overflow pada daemon CAPWAP.
FG-IR-25-632 (CVE-2025-58413, CVSSv3 6.9): Masalah Stack buffer overflow lain pada daemon CAPWAP.
FG-IR-25-545 (CVE-2025-54821, CVSSv3 1.8): Pintasan Trusted hosts melalui SSH (Kes ekstrem CLI).

Ya, ini sangat banyak. Dan ya, anda boleh menguruskannya dengan proses (Tetingkap Patch, Staging, Pengurusan Perubahan, Tetingkap Penyelenggaraan).

Dan kemudian datanglah sisi sebaliknya.

Sophos: Tiada Tajuk Utama, Tetapi Operasi Sedang Terbakar

Dengan Sophos, sudah tentu kita juga bercakap mengenai keselamatan. Tetapi apa yang benar-benar memakan masa kita sekarang hanyalah pepijat.

Pada masa ini kami mempunyai begitu banyak kerja yang tidak perlu di syarikat semata-mata kerana firewall terus menyebabkan masalah. Dan pada suatu tahap, anda mendapati diri anda bertanyakan soalan yang sebenarnya sangat tidak masuk akal:

Apa yang lebih saya sukai: firewall dengan kerentanan keselamatan yang berjalan secara stabil, atau firewall tanpa tajuk utama CVE besar yang tidak boleh dihidupkan kembali selepas di-boot?

Ini bukan perdebatan akademik. Ini adalah Operasi (Operations). Sedihnya, pada masa ini saya hampir lebih suka kepada kerentanan keselamatan teori yang mungkin pada suatu masa nanti akan dieksploitasi berbanding melihat rangkaian pelanggan yang terputus sepenuhnya selama beberapa jam lagi disebabkan oleh pepijat yang remeh.

Titik Kesakitan Kami Semasa (Ya, Semuanya Berlaku Serentak)

Dan untuk menjelaskannya: Ini hanyalah pepijat yang telah kami alami berkali-kali dan pada sistem yang berbeza dalam beberapa bulan kebelakangan ini. Ia sangat memenatkan dan mengecewakan apabila operasi bertukar menjadi sebuah projek. Terutamanya apabila anda berakhir di komidi putar Sokongan (Support) Sophos lagi, dan mereka suka berpura-pura bahawa anda adalah “satu-satunya pelanggan di seluruh dunia yang mengalami masalah ini”. Tidak, kami tidak bersendirian.

Firewall kadangkala tidak dihidupkan dengan bersih selepas proses boot.
Kluster HA pecah atau bertindak seperti split-brain.
Pembalakan log (Logging) secara tiba-tiba menjadi tidak boleh dipercayai (atau hilang sama sekali).
Sijil Let’s Encrypt tidak diperbaharui, dan anda perlu menyusulnya secara manual pada waktu malam.
Sesuatu antara muka (interface) hilang atau tiba-tiba tidak kelihatan lagi di GUI.
SSD mati (kerosakan perkakasan).
Log masuk WebAdmin mogok sepenuhnya – anda tidak boleh log masuk lagi, selalunya hanya reboot dapat membantu.
Antara muka secara tiba-tiba hilang sama sekali daripada konfigurasi.
Cakera log (Log-Disk) penuh, menyebabkan mesej ralat muncul atau perkhidmatan yang terjejas berhenti secara langsung.

Apa Kata Komuniti (Anda Tidak Bersendirian!)

Jika anda melihat-lihat Komuniti Sophos (setakat awal 2026), gambaran penurunan kualiti malangnya sejajar dengan pengalaman kami. Selain masalah kami, pengguna lain menghadapi halangan (showstoppers) yang lebih teruk di v21.5 / v22:

Profil VPN SSL Rosak (v22.0 Build 411): Beberapa pengguna melaporkan bahawa selepas menaik taraf kepada v22 terkini, pembuatan profil VPN SSL gagal. Kadangkala mereka terpaksa melakukan rollback ke v21.5 kerana versi baharu tersebut mempunyai terlalu banyak pepijat.
SNAT / Akses Pelayan Web Rosak (v22.0 Build 365): Terdapat laporan bahawa selepas kemas kini, akses ke pelayan web dalaman dari luar terputus. Selalunya, penghalaan (routing) internet mogok sepenuhnya sehinggalah SNAT ditetapkan semula secara manual kepada pilihan MASQ lalai.
Spam CLI / “Invalid rule id”: Amaran besar-besaran seperti “Invalid rule id or family for update” muncul di konsol. (Ini nampaknya “hanya” merupakan ralat paparan, tetapi ia membanjiri log tanpa makna).

Dan bahagian paling pahit dari semua ini: Setiap satu perkara ini bukan sahaja menjengkelkan, ia adalah risiko yang besar. Jika log hilang, anda terbang buta. Jika HA goyah, anda hilang kepercayaan pada failover. Jika sijil tidak diperbaharui, anda membina penyelesaian sementara (workarounds). Dan penyelesaian sementara adalah tempat pembiakan untuk insiden pada masa hadapan.

Pepijat Sophos (v21.5 hingga v22): Terus Menyerang Gejala Anda

Saya sengaja menyenaraikan ID NC khusus daripada nota keluaran rasmi atau Masalah yang Diketahui (Known Issues) yang didokumenkan secara rasmi di sini agar anda, sebagai admin, dapat menjejakinya dengan jelas.

Secara Ringkas: Gejala -> Apa yang Tertulis di Nota

Gejala dalam Operasi	Contoh dari Nota Keluaran / Known Issues
Boot/Restart tidak dihidupkan dengan bersih	NC-151715, NC-152641, NC-123910
HA goyah atau menjadi panik semasa failover	NC-142962, NC-132291, NC-147307, NC-147739, NC-149039
Log/Laporan hilang atau tidak boleh dipercayai	NC-158526, NC-160962, NC-157663, NC-169237, NC-135594, NC-175936, NC-170292, NC-166381
Let’s Encrypt/WAF menyebabkan tekanan	NC-148937, NC-152022, NC-140663, NC-141062, NC-152540, NC-146082, NC-159041
Entra SSO/Captive Portal/VPN Portal meragam	NC-167126, NC-157635, NC-167130, NC-167128
VPN/IPsec tidak naik atau interop terputus	NC-136352, NC-128116
Traffic Drops tanpa punca peraturan yang jelas	NC-169842 (dan ingatlah IPS/Snort sebagai punca selepas naik taraf)
Antara muka “hilang” (UI)	Masalah yang Diketahui: Nama antara muka dengan 10+ digit menjadikan antara muka tidak kelihatan di paparan WebAdmin

Kisah Kecewa dari Operasi

Kami duduk di sana pada waktu pagi melakukan apa yang selalu anda lakukan: Mengusahakan tiket, merancang perubahan, membaca pemantauan (monitoring).

Dan kemudian firewall mengetuk pintu, tanpa mengetuk.

Bukan dengan CVE, bukan dengan “Critical Advisory”. Tetapi dengan kehidupan seharian.

Kopi pertama, restart pertama, dan soalan di kepala anda: Adakah ini akan dihidupkan kembali atau tidak?

Jika keadaan berjalan baik, sistem akan dihidupkan. Jika keadaan memburuk, sistem mendarat di suatu tempat di antara “Failsafe” dan “hidup, tetapi tidak memproses trafik”. Dan semasa anda masih tertanya-tanya sama ada anda benar-benar memerlukan kabel konsol lagi, bab seterusnya pun bermula.

HA (High Availability). Beg udara (airbag) anda. Dan kadangkala rasanya seperti beg udara mengembang semasa sedang meletak kenderaan.

Kemudian pencatatan log. Kita semua tahu: Jika anda tidak dapat melihat apa yang berlaku, anda tidak dapat mengawalnya. Dan tiba-tiba log menghilang, laporan kosong, atau perkhidmatan mengucapkan selamat tinggal. Anda berdiri di sana dan tertanya-tanya adakah anda kini mempunyai masalah keselamatan, masalah kualiti data, atau kedua-duanya.

Dan kemudian datanglah masalah utamanya: WAF, Reverse Proxy, Let’s Encrypt.

Anda bahkan tidak mahu menjadi mewah (fancy). Anda hanya mahu sijil diperbaharui dan tapak web anda tidak menjerit “connection refused” pada pukul 02:13 pagi.

Dan sebagai bonus, satu antara muka “menghilang”. Tidak benar-benar hilang, cuma hilang di UI. Trafik mungkin masih berjalan, tetapi anda tidak dapat melihat apa yang perlu anda debug.

Pada suatu tahap, anda bertanyakan soalan yang sebenarnya tidak masuk akal ini kepada diri anda sendiri:

Apa yang lebih saya sukai: firewall dengan kerentanan keselamatan yang berjalan secara stabil, atau firewall tanpa tajuk utama CVE besar yang secara operasi membakar lubang baharu di lantai saya setiap minggu?

1) Boot, Reboot, Upgrade: “Ia hidup, tetapi tidak berfungsi”

Jika firewall tidak dihidupkan dengan bersih selepas proses boot, itu bukan sekadar masalah “masa hidup (uptime)”. Itu adalah hari yang hilang ditambah dengan risiko, kerana dalam situasi seperti itu, anda cenderung melakukan perkara yang tidak akan pernah anda lakukan sebaliknya.

Beberapa contoh daripada Nota Keluaran SFOS 21.5:

Failsafe semasa restart: NC-151715 (Pengurusan Perisian Tegar): Peranti Auxiliary beralih ke Failsafe semasa restart; restart gagal.
Trafik berhenti selepas peningkatan (upgrade): NC-152641 (Pengurusan Perisian Tegar): Selepas peningkatan (21.0 MR1 Build 237), tiada lagi trafik yang diproses (Perubahan Konfigurasi Memori SWAP).
Kernel Panic: NC-123910 (Firewall): Masalah Kernel panic.

Dan ya: SFOS 22.0 memperkenalkan faktor peningkatan tambahan: Sophos menunjukkan dalam Nota Keluaran bahawa v22 membawa perubahan seni bina dan bahawa dalam kes yang jarang berlaku, langkah manual tambahan mungkin diperlukan. Ini adalah jenis kes ekstrem peningkatan (upgrade edge case) yang menyakitkan dalam operasi.

2) HA: Beg Udara yang Mengembang Semasa Meletak Kenderaan

HA ialah jaring keselamatan anda. Dan itulah sebabnya ia sangat menyakitkan apabila kes ekstrem meningkat tepat di sana.

Daripada Nota Keluaran SFOS 21.5 (Pilihan):

HA Event Tracking berhenti semasa restart serentak: NC-142962 (HA).
Muat naik Perisian Tegar (Firmware) pada Pasif tersekat: NC-132291 (HA).
Failover menyebabkan Restart Loop: NC-147307 (HA) (secara eksplisit cth. XGS 2300 dalam nota).
Penyegerakan (Sync) gagal selepas Gangguan Bekalan Elektrik (Power Outage): NC-147739 (HA).
Status HA mengepak (flapped), Crash Dump pada Pautan Khusus: NC-149039 (HA).

3) Pengelogan (Logging) dan Pelaporan (Reporting): Semasa Anda Terbang Buta

Bagi saya, inilah alasan sebenar mengapa “pepijat” bukan sekadar “operasi”. Apabila pengelogan/pelaporan goyah, ia adalah masalah keselamatan.

Daripada Nota Keluaran SFOS 21.5 (Pilihan):

Pengelogan/Pelaporan berhenti secara sporadis; coredump Garner kerap berlaku: NC-158526 (Logging Framework).
Garner dan fwcm-heartbeatd berhenti: NC-160962 (Logging Framework).
Selepas Naik Taraf: tiada lagi laporan: NC-157663 (Logging Framework).
Log Viewer kehilangan peristiwa (events) akibat Kerosakan DB: NC-169237 (Logging Framework).
Kerosakan pemeri fail (fd) Syslog, data dihantar ke FD yang salah: NC-135594 (Logging Framework).

Selain itu, anda akan menemui beberapa item dalam Senarai Masalah yang Diketahui (KIL) Sophos yang sama menyakitkan dalam kehidupan seharian:

Log Viewer tidak memaparkan data baharu (active.db hilang): NC-175936 (Logging Framework). Pada sesetengah sistem 21.5.1, active.db di bawah /tmp/eventlogs/ mungkin hilang. Kemudian Log Viewer “membeku”, walaupun trafik dan fungsi keselamatan terus berjalan. Menurut KIL, ini telah dibaiki di v22 dan harus disertakan dalam pembaikan 21.5 MR2.
Positif Palsu (False Positive) “advanced threat detected” di HA: NC-170292 (Logging Framework). Sophos Central boleh menghantar amaran dalam penggunaan HA, termasuk log mentah (raw logs) dalam laluannya. Penyelesaian sementara (Workaround) menurut KIL: mulakan semula perkhidmatan Garner. KBA: https://support.sophos.com/support/s/article/KBA-000043672
ReportDB_v9 memaparkan STOPPED (kelihatan dramatik, namun sebenarnya tidak): NC-166381 (Reporting). Selepas menaik taraf ke v21.0 GA atau yang lebih baharu, perkhidmatan ini akan muncul sebagai STOPPED selepas jangka masa yang sangat spesifik. Menurut KIL, ini memang sudah dijangka dan tidak mempunyai kesan operasi kerana ia hanya mempengaruhi pelaporan lama sebelum v21.

Dan di sinilah “Faktor Sophos Central”: Jika anda menggunakan Central sebagai Single Pane of Glass, masalah pengelogan akan menyakitkan dua kali ganda. Jika saluran pengelogan tempatan (Garner/DB) terguling, muat naik ke Central Firewall Reporting (CFR) juga boleh gagal atau tersekat. Dan CFR tidak selalu berjalan secara “realtime”. Maknanya: Dalam kes terburuk, anda bukan sahaja kehilangan log tempatan, tetapi juga kehilangan pandangan pusat yang sebenarnya ingin anda harapkan dalam kehidupan seharian.

4) WAF dan Let’s Encrypt: Perkhidmatan Awam, Namun Tolong Tanpa Drama

Apabila sijil tidak diperbaharui dan proksi songsang (reverse proxy) berputar di luar kawalan, itu bukanlah “pepijat kecil”. Itu adalah Kesan Pelanggan (Customer Impact) secara langsung.

Dalam Nota Keluaran SFOS 21.5, anda akan mendapati seluruh keluarga masalah WAF/Let’s Encrypt:

Penciptaan sijil Let’s Encrypt gagal: NC-148937 (WAF).
Permintaan LE gagal kerana Auto-Firewall-Rule hilang: NC-152022 (WAF).
Konfigurasi LE yang Tidak Sah menyebabkan Reverse Proxy berterusan restart: NC-140663 (WAF).
ACME tidak mengeluarkan sijil untuk IP: NC-141062 (WAF).
Aturan WAF secara automatik hidup/mati: NC-152540 (WAF).

Dan kemudian ada topik yang “kelihatan seperti pepijat, tetapi merupakan pertukaran (tradeoff) keselamatan”. Contoh daripada KIL:

Garis miring yang dikodkan (%2F) pada URL: WAF mengembalikan 404: NC-159041 (WAF). Jika aplikasi anda menggunakan garis miring yang dikodkan (encoded slashes) pada URL, Apache menyekat ini secara lalai (Arahan AllowEncodedSlashes ditetapkan kepada No secara lalai) dan anda melihat 404, walaupun bahagian belakang (backend) “sebenarnya” mempunyai laluan (path) tersebut. Latar belakang: garis miring yang dikodkan boleh menembusi sekatan laluan (contoh klasik: .../something%2F..%2Fadmin). Butiran: https://httpd.apache.org/docs/2.4/mod/core.html#allowencodedslashes

Dan jika anda ingin tahu seperti apa hal itu di lapangan: Dalam bebenang (thread) komuniti ini, seseorang menerangkan bahawa selepas menaik taraf ke 21.5.x, sijil pembaharuan automatik “hilang”, WAF tidak bermula, dan tapak web mati dengan mesej ERR_CONNECTION_REFUSED. Penyelesaiannya pada akhirnya ialah: Pembersihan Peraturan Perlindungan Web (Web Protection Rules) dan memadamkan CSR LE yang rosak, selepas itu sistem berjalan kembali. (Bebenang: WAF/Let’s Encrypt selepas Upgrade, ERR_CONNECTION_REFUSED).

Dan kadangkala ini bahkan bukan satu “pepijat”, sebaliknya satu proses: Di Komuniti Sophos, terdapat juga kes di mana Syarat Perkhidmatan (Terms of Service) Let’s Encrypt ditandakan tamat tempoh di WebAdmin dan perlu dipersetujui kembali. (Bebenang: Let’s Encrypt Terms of Service have expired).

Satu lagi “perangkap naik taraf (upgrade trap)” klasik daripada Senarai Masalah yang Diketahui: Peningkatan (upgrade) boleh gagal jika sijil dalaman (onboard) sudah menggunakan nama yang sama dengan sijil Let’s Encrypt yang baharu diperkenalkan di CA Store (NC-146082).

5) “Satu Antara Muka Hilang” (atau hanya tidak kelihatan)

Ini adalah jenis pepijat yang kedengaran biasa dalam Nota Keluaran, tetapi memaksa anda terbang buta (blind flight) dalam amalannya.

Secara rasmi didokumenkan sebagai Masalah yang Diketahui (Known Issue):

Jika antara muka fizikal atau logik dalam SFOS 21.5 GA dan yang lebih baharu mempunyai penetapan yang berakhir dengan 10 nombor atau lebih (Contoh dalam nota: VLAN_1234567890), maka antara muka fizikal tidak kelihatan di WebAdmin di bawah Rangkaian (Network) > Antara Muka (Interfaces), atau antara muka logik tidak boleh dikembangkan. Penting: Menurut Nota Keluaran, fungsinya tidak terjejas, hanya paparannya di Konsol WebAdmin sahaja yang terkesan.

Kesimpulan sementara (setakat ini): Boot/Upgrade, HA, Logging/Reporting, WAF/Let’s Encrypt, dan malah UI boleh menjatuhkan anda sekaligus. Dari sini muncul topik yang pada mulanya kelihatan seperti “butiran rangkaian” namun secara operasinya adalah sama mahal: Entra SSO, Interop VPN, dan lalu lintas yang seolah-olah terputus secara rawak (random traffic drops).

6) Identiti/SSO (Entra) dan Captive Portal: Apabila Akses Terasa “Rawak”

Ini adalah kategori pepijat yang sangat berbahaya dalam operasi: Bagi pengguna, ini kelihatan seperti “akaun saya sedang meragam”. Bagi anda, ini kelihatan seperti “itu cuma masalah SSO”. Pada realitinya, firewall selalunya berada di tengah-tengahnya.

Beberapa masalah terbuka dari KIL jika Microsoft Entra ID (Azure AD) ada dalam campuran anda:

Sophos Connect VPN: Akses Bersyarat (Conditional Access) tidak disokong sepenuhnya: NC-167126 (Authentication). Selepas cabaran MFA awal semasa log masuk pertama, pemeriksaan akses bersyarat tidak semestinya dicetuskan (triggered) pada setiap sambungan seterusnya. Menurut KIL, penguatkuasaan dasar (policy enforcement) tidak berlaku lagi sehingga pengguna log keluar (logout) secara manual di Sophos Connect Client.
VPN SSO: UPN dan E-mel berbeza, Log masuk terputus: NC-157635 (Authentication). Jika ID E-mel dan UPN di Entra berbeza, pengguna boleh mengakses Portal VPN, tetapi tidak ke Portal SSL VPN atau IPsec. Punca menurut KIL: pengepala (header) OAuth menyediakan E-mel, yang kemudiannya ditafsirkan sebagai UPN.
Captive Portal: Pengguna Entra SSO memerlukan Kumpulan Utama (Primary Group) di dalam Peraturan: NC-167130 (Authentication). Akses internet hanya berfungsi jika anda menggunakan Kumpulan Utama dalam Padanan Peraturan Firewall (Kumpulan Sekunder tidak dikira di sini). Pembaikan menurut KIL ada dalam “keluaran penyelenggaraan seterusnya”; Penyelesaian sementara (Workaround): padankan Kumpulan Utama secara eksplisit atau gunakan peraturan berasaskan pengguna.
Terkadang berlaku ralat “no permission” (tiada kebenaran) dengan Entra SSO: NC-167128 (Authentication). Boleh berlaku apabila Pengesahan ID Entra dan Pengesahan On-Prem AD digunakan secara selari (Token-Reuse). Penyelesaian sementara menurut KIL: kosongkan kuki (cookies) pelayar atau “force re-logon” (paksa log masuk semula) di Sophos Connect Client. Sebagai alternatif, gunakan satu kaedah pengesahan secara konsisten.

7) Saling Kendali (Interop) VPN/IPsec: Naik Taraf Sering Gagal Kerana “Lawan”

Dua topik KIL yang bukan hanya bermula dengan versi 21.5, tetapi kekal relevan di 21.5/v22 sebaik sahaja anda mempunyai pelanggan lama atau rakan jauh (remote peers) di lapangan:

IPsec IKEv2: Terowong (Tunnel) tidak menyala (Fragmentasi/PMTU): NC-136352 (IPsec). Dari 20.0 MR1, profil lalai IKEv2 boleh menghasilkan paket yang lebih besar (lebih banyak medan lalai), kadangkala melebihi 1500 bait. Jika fragmentasi/PMTU di laluan (path) adalah teruk (fragmen dibuang), terowong S2S tidak akan menyala. Mitigasi menurut KIL: kurangkan Kumpulan DH (DH Groups) di profil IPsec (Minimum 4) atau konfigurasikan dengan tepat kumpulan yang digunakan oleh rakan jauh.
SSL VPN/OpenVPN 2.6.0: Ketidakserasian (Incompatibility) dengan Pelanggan EoL/UTM9: NC-128116 (SSLVPN). Sejak 20.0 MR1, OpenVPN menggunakan versi 2.6.0. Ini memutuskan SSL VPN dari tapak ke tapak (site-to-site) dengan versi SFOS lama (18.5 dan lebih lama), pelanggan SSL VPN lama (EoL) dan OS UTM9, antara lain. Syor menurut KIL: tingkatkan kedua-dua pihak atau beralih ke IPsec/RED; Jarak jauh (Remote): gunakan Sophos Connect atau pelanggan OpenVPN semasa.

8) Penurunan Trafik (Traffic Drops) Tanpa Hit Peraturan: Accurate ECN sebagai Punca yang Menyusahkan

Apabila lalu lintas (traffic) kelihatan terputus secara “rawak”, perkara pertama yang anda periksa ialah peraturan (rules), IPS, pemeriksaan TLS, dan penghalaan (routing). Dan selepas naik taraf perisian tegar, satu keadaan klasik akan ditambahkan ke dalam senarai: Enjin IPS (Snort) atau tandatangan (signatures) menjadi lebih ketat, menyekat lalu lintas yang sah, dan anda tidak segera menjumpai peristiwa log yang jelas untuk itu. Kemudian anda menghabiskan masa berjam-jam untuk men-debug “routing” atau “rules”, walaupun pada akhirnya ini adalah kerja mengenai dasar (policy) atau penalaan (tuning).

Walau bagaimanapun, KIL juga mempunyai calon yang boleh membuatkan anda sibuk untuk masa yang sangat lama jika anda tidak memantaunya dalam radar anda:

Lalu lintas dibuang (dropped) kerana Bit Accurate ECN: NC-169842 (Firewall). Accurate ECN menetapkan bit TCP (ECE/CWR/NS) secara berbeza (RFC 7560). Menurut KIL, kernel mentafsirkan perkara ini sebagai “reserved bit set” dan membuang lalu lintas. Untuk mengecilkan masalah ini, memeriksa bahagian pelanggan akan sangat membantu: Dalam amalannya, perkara ini mungkin lebih disedari dengan kernel Linux yang lebih baharu atau pelanggan Apple, kerana mereka cenderung menggunakan RFC 7560/Accurate ECN secara lebih aktif (“mengapa hanya MacBooks yang ditendang keluar?”). RFC: https://www.rfc-editor.org/rfc/rfc7560

9) v22 GA Re-Release Build 411: Mengapa pada mulanya ia diperlukan

Pada 20 Januari 2026, Sophos menolak v22 GA sebagai keluaran semula (Build 411) untuk memperbaiki “masalah yang jarang berlaku dan terpencil”. Senarai tersebut dibaca seperti lagu hit dari “pekerjaan yang tidak perlu di tetingkap perubahan (change window)” (Sumber: Catatan Blog Komuniti Sophos di Re-Release):

NC-171003: WebAdmin tidak boleh diakses melalui Antara Muka Bridge dengan penapisan VLAN.
NC-170987: Log Spam CLI “Invalid rule id or family for update”.
NC-170970: Lalu lintas DNAT gagal jika Peraturan DNAT mempunyai antara muka keluar (outbound interface) yang spesifik.
NC-171600: Widget SSL/TLS dan Data Carta Sesi (Session Chart) adalah salah/kosong.
NC-172197: Tiada konfigurasi SNMP yang boleh ditambah.

Catatan blog: v22 GA re-release (Build 411) is now available.

Kerosakan Nyata: Pepijat Menjadikan Keselamatan Lebih Mahal

Intinya bukanlah “pepijat lebih teruk daripada CVE” atau sebaliknya.

Intinya adalah: Apabila operasi anda goyah, keselamatan secara automatik akan merosot.

Anda menangguhkan peningkatan kerana anda takut pada pepijat regresi (regression bug) yang seterusnya.
Anda melumpuhkan ciri (“kami tidak memerlukannya buat masa ini”) kerana ciri tersebut menyebabkan tekanan.
Anda kehilangan kebolehcerapan (log), yang bermaksud kelambatan dalam bertindak balas.
Anda menghabiskan masa untuk memadamkan api (firefighting) dan bukannya melakukan segmentasi, sandaran (backups), dan membuat peraturan yang bersih.

Dan satu perkara yang dipandang rendah sepenuhnya dalam praktiknya: Time-to-Resolution (Masa untuk Resolusi). Dengan CVE, anda biasanya mempunyai Advisory, Mitigation, dan Fix. Dengan pepijat, beban pembuktian (burden of proof) dengan pantas jatuh pada admin: tcpdump, log CTR, eksport shell lanjutan, “adakah anda sudah mencuba mematikan dan menghidupkannya semula?” - sementara pengeluaran (production) sedang terbakar. Dan selepas itu barulah anda mendarat di komidi putar sokongan (support): peningkatan isu (escalating), menunggu pembaikan tergempar (hotfix) atau MR seterusnya. Hal itu menggunakan masa operasi tambahan yang tidak anda rancang.

Dan itulah sebabnya mengapa soalan “Lebih baik kerentanan, tetapi stabil?” adalah manusiawi, tetapi sebenarnya merupakan langkah yang salah:

Bukan hanya “kerentanan” yang menjadi masalah keselamatan. “Firewall yang tidak stabil” juga merupakan satu masalah keselamatan.

Apa yang Boleh Kita Pelajari Daripada Hal Ini (Agar tidak benar-benar di luar kawalan)

Beberapa perkara yang membantu kami mengehadkan kegilaan ini tanpa perlu mencipta semula roda setiap minggu:

Pra-penerbangan Peningkatan (Upgrade-Preflight) (Sebelum Anda Bermula)

Layan Sandaran (Backups) seperti Pemulihan (Restores): Eksport konfigurasi, buat sandaran secara luar talian, dan pemulihan telah diuji sekurang-kurangnya sekali.
Status HA “hijau” tidak mencukupi – uji failover-nya! Menurut GUI, penyegerakan (sync) kami baik-baik sahaja dan degupan jantung (heartbeat) adalah bersih. Tetapi dalam keadaan kecemasan, Perkakas Bantuan (Auxiliary Appliance) tetap tidak mengambil alih failover dengan lancar. Tanda rait (checkmark) hijau di WebAdmin pada masa ini malangnya bukan satu jaminan bahawa ia akan berfungsi semasa tetingkap perubahan (change-window).
Sahkan Pengelogan (Logging): Syslog/Collector Luaran menerima peristiwa (events), tiada jurang (gaps), masa/NTP adalah betul.
Periksa Sijil/WAF: Tarikh tamat tempoh, pengesahan Let’s Encrypt, dan sijil sandaran (fallback) sebagai Pelan B.
Benar-benar menguji SSO/VPN: Log masuk Entra, Captive Portal, Sophos Connect, SSL VPN, IPsec S2S (termasuk failover) adalah kes ujian (test cases) mereka sendiri.
Persediaan Pecah Kaca (Break-Glass): Konsol/Akses Out-of-band, admin tempatan, dan imej perisian tegar untuk rollback.
Jangan lupakan Dwi-But (Dual-Boot) (dan jangan menilai ia terlalu tinggi): Sophos mempunyai dua partition perisian tegar. Jika sesuatu peningkatan (upgrade) serba salah, rollback ke 21.5 selalunya hanya dengan but semula (reboot) dengan memilih partition yang lain. Tetapi: Terdapat juga kes di mana partition kedua juga tidak dapat boot dengan bersih, dan kemudian hanya reimage (pemasangan semula imej) yang dapat membantu (di mana sokongan nampaknya memintanya dengan sangat cepat). Dan bahkan sebuah reimage tidak selalu menyelesaikan punca asal (root cause) yang sebenar.

Semasa Peningkatan (Jika HA Terlibat)

Pasif/Sekunder terlebih dahulu, kemudian Failover, lalu Aktif.
Sahkan (validate) secara ringkas selepas setiap langkah: Trafik, VPN, DNS, Pengelogan, WAF/Reverse Proxy.

Dalam Operasi Berterusan (Ongoing Operations)

Uji HA, jangan hanya mengkonfigurasinya: Latihan failover (Failover drills) dan kriteria yang jelas tentang bila perlu memisahkan (split) sebuah kluster.
Layan Pengelogan sebagai sebuah Produk: Amaran untuk jurang log, Kesihatan Perkhidmatan (Service Health), eksport kecemasan melalui CLI jika UI meragam.
Pantau Sijil secara Aktif: Pembaharuan (Renewal) bukanlah satu perkara yang “bagus untuk dimiliki (nice to have)”, sebaliknya risiko operasi. Layan perubahan ToS sama seperti Perubahan Infrastruktur (Changes).
Health Check sebagai satu petunjuk, bukan KPI: Di v22, Sophos memperkenalkan Pemeriksaan Kesihatan (Health Check) (Butirannya ada di artikel saya Sophos Firewall v22 Health Check - Tinjauan Lengkap ). Ini bagus sebagai senarai semak (checklist) amalan terbaik, tetapi kadangkala terasa seperti “menghidupkan suis ekosistem menjadi hijau”. Contoh daripada amalan: Ramai orang mengaktifkan Penafian Log Masuk (Login Disclaimer) semata-mata untuk mendapatkan tanda rait hijau pada Pemeriksaan Kesihatan. Apa yang saya rasakan kurang di sana, ialah penunjuk operasi yang keras (hard operational indicators) seperti “adakah DB pengelogan/pelaporan sihat?” atau “bagaimanakah status SSD?” - terutamanya kerana beberapa perkakas (appliances) mengalami masalah storan lebih pantas daripada yang dijangkakan.

Kesimpulan: Apabila Alat Menjadi Satu Risiko

Pada penghujung hari, kita semua berada di dalam bot yang sama. Kita mengurus infrastruktur kritikal dan mesti boleh bergantung pada alat yang sepatutnya melindungi kita daripada kekacauan, bukannya menyebabkan kekacauan itu sendiri. Mengingatkan pada kualiti perisian tegar semasa (v21.5 / v22), Sophos jelas mempunyai banyak kerja rumah yang perlu diselesaikan. Kepercayaan terhadap “keluaran yang stabil (stable releases)” telah mendapat tamparan hebat bagi kami dan ramai orang lain di dalam komuniti ini.

Saya tidak mahukan firewall yang “sama ada selamat atau stabil”. Saya mahukan – tidak, saya memerlukan – firewall yang mempunyai kedua-duanya.

Sehingga Sophos dapat mengawal masalah kualiti ini, kita di bahagian operasi hanya mempunyai satu pilihan: Kita mesti menjadi lebih berdisiplin, berhenti mempedulikan “tanda rait hijau” di antara muka pengguna (UI), dan mengambil berat tentang pepijat yang biasa sahaja dalam perancangan penggunaan (deployment) sama seperti CVE yang kritikal.

Jumpa lagi pada masa akan datang,
Joe