trueNetLab logo
PT
Sophos Connect: por que admins não deveriam caçar posts de blog

Sophos Connect: por que admins não deveriam caçar posts de blog

10 min read
Network Sophos Security

Índice

Sophos Connect 2.5 MR1 para Windows está disponível. À primeira vista parece uma pequena versão de manutenção: algumas correções no cliente, um componente de terceiros atualizado e downloads pelo firewall ou diretamente pela Sophos.

Mas é exatamente aí que começa o problema.

Sophos Connect não é uma ferramenta qualquer para conexões VPN ocasionais. O cliente roda em endpoints Windows, cria VPNs de acesso remoto e, para muitas organizações, é um caminho direto para a rede interna. Quando uma ferramenta de segurança assim atualiza uma biblioteca criptográfica importante, a informação não deveria parecer escondida em um post da comunidade.

O que incomoda ainda mais: OpenSSL 3.3.7 foi lançado em 7 de abril de 2026. Sophos Connect 2.5 MR1 chegou em 18 de junho de 2026. São cerca de dez semanas. Para um aplicativo de desktop comum, talvez fosse apenas uma atualização de manutenção atrasada. Para um cliente VPN com uma biblioteca criptográfica, esse intervalo é bem menos confortável.

O usuário final deveria realmente ler blogs da Sophos para perceber que o cliente VPN precisa ser atualizado? Todo pequeno administrador de TI deveria assinar o feed da comunidade e torcer para ver esse tipo de release a tempo? Para uma ferramenta que lida com acesso remoto, certificados, autenticação e criptografia, isso é pouco.

Um cliente VPN é infraestrutura de segurança. Por isso uma atualização importante do cliente não deveria existir apenas como post de blog.

O que muda no Sophos Connect 2.5 MR1

Sophos anunciou o Sophos Connect Client 2.5 MR1 para Windows em 18 de junho de 2026. Segundo a Sophos, é uma versão de manutenção que corrige vários problemas relatados pela comunidade.

A mudança técnica mais importante é clara:

  • OpenSSL foi atualizado para a versão 3.3.7.

Isso parece pequeno. Operacionalmente, não é. Entre o release do OpenSSL em 7 de abril e a versão do Sophos Connect em 18 de junho passaram mais de dois meses. É justo dizer que a Sophos precisa revisar, integrar, testar e empacotar a biblioteca. Mas justamente por isso um cliente de segurança precisa de transparência: administradores não deveriam ter que deduzir de um blog que um componente do cliente ficou semanas aguardando uma versão de correção de segurança.

Sophos também lista correções no Sophos Connect:

  • O cliente não iniciava automaticamente para usuários Windows adicionais quando instalado por outro usuário.
  • Usuários SSO podiam ver um status VPN incorreto após interrupção da Internet.
  • Usuários com credenciais e OTP recebiam solicitações diferentes ao reconectar, dependendo de IPsec ou SSL VPN.
  • Usuários SSO não conseguiam criar uma conexão SSL VPN a partir de um arquivo de provisionamento quando certificados tinham caracteres especiais.

Isso não é cosmético. São temas clássicos de acesso remoto: inicialização, status, SSO, OTP, provisionamento e certificados. Exatamente onde helpdesk, admins e usuários perdem visibilidade rapidamente.

Ainda assim, OpenSSL 3.3.7 é o ponto que torna este release especialmente importante.

Por que OpenSSL 3.3.7 é relevante

OpenSSL 3.3.7 foi publicado em 7 de abril de 2026 como uma versão de correção de segurança. A própria OpenSSL classifica o problema mais grave corrigido como Moderate. Isso não soa dramático, mas também não é um bugfix comum.

OpenSSL 3.3.7 corrige, entre outros:

  • CVE-2026-31790: tratamento incorreto de erro em RSA KEM RSASVE Encapsulation, que poderia enviar memória não inicializada a um peer malicioso em certas condições.
  • CVE-2026-28387: possível use-after-free no código cliente DANE.
  • CVE-2026-28388: possível dereferência NULL ao processar uma delta CRL.
  • CVE-2026-28389 e CVE-2026-28390: possíveis dereferências NULL ao processar certas estruturas CMS EnvelopedData.
  • CVE-2026-31789: heap buffer overflow em conversão hexadecimal em plataformas de 32 bits.

Nem toda vulnerabilidade dessa lista é automaticamente explorável no Sophos Connect. Isso importa. Não se deve concluir cegamente que todo cliente está em risco imediato em todo cenário.

Mas o contrário também seria errado: “Moderate” ou “Low” não significa “irrelevante”.

OpenSSL é um componente base. Ele aparece em TLS, validação de certificados, operações criptográficas e muitos programas que criam conexões seguras. Se um cliente VPN inclui essa biblioteca, mantê-la faz parte do modelo de segurança do cliente, especialmente em notebooks que viajam, usam redes externas e se conectam ao ambiente interno.

Por que SSL VPN ainda importa aqui

Outro ponto me incomoda no Sophos Connect há algum tempo: o cliente inclui OpenSSL para SSL VPN mesmo quando o cliente não usa SSL VPN.

Muitos ambientes hoje usam mais IPsec. Há boas razões: muitas vezes melhor desempenho, integração mais clara em desenhos VPN existentes e distribuição mais fácil via software deployment, RMM, Intune ou outras ferramentas de endpoint management. Em empresas, não se quer usuário baixando instalador VPN manualmente em portal. Quer-se pacote, versão, janela de rollout e inventário.

Se um cliente usa Sophos Connect apenas para IPsec, OpenSSL para SSL VPN ainda faz parte do cliente instalado. Isso não significa que toda falha OpenSSL seja explorável naquele ambiente. Mas significa que a biblioteca está presente, precisa ser mantida, aparece em inventários e scanners de vulnerabilidade e gera trabalho de patch.

Por isso a lógica de update é importante. Se um produto instala componentes que nem todo cliente usa ativamente, o fabricante tem responsabilidade especial de mantê-los rápido e de forma visível. Caso contrário surge o problema clássico: um recurso existe tecnicamente, não é usado na prática, mas precisa ser corrigido e explicado.

Por que um release próprio faz sentido

Eu acho correto que a Sophos publique uma versão de manutenção para isso.

Um cliente VPN não é só mais um aplicativo desktop. Ele faz parte do controle de acesso. Se usa bibliotecas criptográficas antigas, existe risco operacional, mesmo quando a explorabilidade concreta precisa ser avaliada caso a caso.

Em componentes de segurança, três coisas contam:

  • Manutenção de componentes: bibliotecas de terceiros devem ser atualizadas rapidamente.
  • Rastreabilidade: admins precisam saber qual versão está implantada.
  • Distribuição: o patch precisa chegar aos endpoints com confiança.

O primeiro ponto está cumprido: Sophos atualiza OpenSSL. O segundo está parcialmente cumprido: release notes e blog citam a versão. O terceiro é onde fica interessante.

Sophos diz que o instalador atual é distribuído a firewalls SFOS via pacote Up2Date e depois pode ser baixado pelo WebAdmin ou portal VPN. Isso é útil, pois o firewall vira o ponto local para o instalador.

Mas isso não é o mesmo que um processo de auto-update limpo e visível em cada endpoint Windows.

Se o usuário instalou o cliente uma vez e nunca mais atualiza ativamente, a disponibilidade do instalador no firewall é só metade do caminho. Alguém ainda precisa iniciar, monitorar e concluir o rollout.

A crítica real: visibilidade

Minha crítica não é principalmente ao release. Ele faz sentido.

Minha crítica é sobre visibilidade e expectativa.

Uma ferramenta moderna de segurança deveria oferecer ao menos uma destas opções:

  • notificação clara de update no cliente,
  • visão central no Sophos Central ou no firewall mostrando versões antigas,
  • mecanismo oficial e bem documentado de auto-update,
  • ou alerta de administrador quando uma versão relevante para segurança está defasada.

O ideal seria um auto-update opcional e controlável para Sophos Connect. Não silencioso, não descontrolado e não contra políticas da empresa. Mas com uma opção para o admin permitir updates de segurança automáticos ou semiautomáticos em grupos definidos.

Alguns ambientes resolvem isso com GPO, RMM, Intune ou distribuição de software. Claro. Bons admins conseguem. Mas o ponto de produto continua: em clientes de acesso remoto, a comunicação de update não deveria ficar ao acaso.

Sophos sabe como automação de updates é importante. Firewalls têm pattern updates, hotfixes, avisos de firmware e visibilidade no Central. Em produtos endpoint, atualização automática já é esperada. Por que o cliente VPN ainda parece tão manual?

Não é luxo. É exatamente onde pequenas lacunas ficam por tempo demais.

O que admins devem fazer agora

Primeiro: verifique se seu Sophos Firewall já recebeu o novo instalador do Sophos Connect. A Sophos diz que ele chega via Up2Date e depois fica disponível no WebAdmin ou portal VPN.

Segundo: verifique as versões instaladas nos clientes Windows. Se você não tem inventário central, esse é o verdadeiro problema. Use ao menos RMM, Intune, GPO, endpoint management ou script.

Terceiro: teste cenários reais, não só um usuário padrão:

  • SSL VPN com usuário, senha e MFA
  • IPsec com OTP, se usado
  • Microsoft Entra ID SSO
  • arquivos de provisionamento
  • certificados com caracteres especiais
  • reconexão após queda da Internet
  • múltiplos usuários Windows no mesmo dispositivo

Se vocês usam apenas IPsec, eu ainda não ignoraria o update. Verifique se o cliente inicia bem, se perfis são distribuídos corretamente e se o inventário reconhece a nova versão. OpenSSL talvez não seja o caminho VPN ativo, mas ainda faz parte do cliente instalado.

Quarto: faça rollout planejado. Sem pânico, mas também não “um dia”. OpenSSL 3.3.7 é uma versão de correção de segurança. Um cliente VPN com OpenSSL não é assunto para o próximo ciclo de troca de notebooks.

Quinto: comunique claramente. Usuários não precisam entender RSASVE, DANE ou CMS KeyAgreeRecipientInfo. Precisam saber que o cliente VPN será atualizado, que conexões devem ser testadas e onde reportar problemas com SSO, OTP ou provisionamento.

O que a Sophos deveria melhorar

Eu gostaria de três coisas no Sophos Connect.

Primeiro: informação clara de update dentro do cliente. Quando houver uma versão relevante para segurança, o usuário ou ao menos o admin local deveria ver. Melhor ainda seria uma trilha de auto-update controlável para ambientes que a permitam.

Segundo: visão central para admins. Sophos Central ou o firewall deveriam mostrar quais versões Sophos Connect existem no ambiente e quais estão antigas. Se o cliente não é gerenciado centralmente, pelo menos recomendações claras de inventário e rollout seriam necessárias.

Terceiro: comunicação melhor de release. Um post da comunidade serve como anúncio. Mas para componentes de cliente relevantes para segurança, “ler o blog e baixar o instalador” não é modelo operacional, especialmente quando a versão OpenSSL de base está disponível desde abril.

Não quero falar mal da Sophos. Atualizar OpenSSL é positivo. Citar a versão nas notas é positivo. Distribuir o instalador pelo firewall é prático.

Mas em 2026 um fornecedor de segurança deveria fazer mais por clientes de acesso remoto.

Minha conclusão

Sophos Connect 2.5 MR1 não é um release glamouroso. Justamente por isso é interessante.

Ele mostra como operação de segurança realmente é: não só grandes recursos novos, mas manutenção de componentes, pequenos fixes, certificados, SSO, reconexões OTP e a pergunta se o update chega mesmo a todos os endpoints.

OpenSSL 3.3.7 é uma versão de correção de segurança. Sophos faz bem em integrá-la ao Sophos Connect. Admins fazem bem em não ignorá-la. Mas o intervalo de abril a junho é longo o bastante para perguntar sobre velocidade e visibilidade.

Também fica o ponto de arquitetura: Sophos Connect instala componentes SSL VPN com OpenSSL mesmo quando o ambiente usa principalmente ou exclusivamente IPsec. Tecnicamente pode fazer sentido por ser um cliente combinado. Operacionalmente, cria responsabilidade adicional. O que é instalado precisa ser atualizado com confiança.

Sophos deveria aceitar a pergunta incômoda: por que um administrador precisa acompanhar ativamente um blog para perceber esse tipo de update de cliente VPN?

Para uma ferramenta de segurança que protege o acesso à rede interna, isso não basta.

Até a próxima,
Joe

FAQ

O que há de novo no Sophos Connect 2.5 MR1 para Windows?
Sophos Connect 2.5 MR1 atualiza OpenSSL para a versão 3.3.7 e corrige problemas de auto-start, status SSO, reconexão OTP e provisionamento SSL VPN com certificados.
Por que OpenSSL 3.3.7 é importante?
OpenSSL 3.3.7 é uma versão de correção de segurança de 7 de abril de 2026. Ela corrige várias vulnerabilidades, incluindo um problema moderado em RSA KEM RSASVE Encapsulation e problemas de menor severidade em DANE, CRL e CMS. Sophos Connect 2.5 MR1 apareceu em 18 de junho de 2026, cerca de dez semanas depois.
Usuários precisam atualizar o Sophos Connect sozinhos?
Depende do modelo operacional. Sophos fornece o instalador pelo firewall ou download direto. Em ambientes gerenciados, admins devem fazer rollout central e não depender de usuários lendo blogs ou agindo manualmente.
OpenSSL importa se usamos apenas IPsec?
Sim, pelo menos operacionalmente. Se Sophos Connect instala OpenSSL para SSL VPN, a biblioteca faz parte do cliente instalado mesmo quando o ambiente usa principalmente IPsec. Isso não prova explorabilidade prática, mas gera necessidade de patch, inventário e explicação.
Fontes

Artigos relacionados

Sophos vs WatchGuard: comparação de firewalls 2026

Sophos vs WatchGuard: comparação de firewalls 2026

Sophos vs Cisco Meraki: comparativo de firewalls

Sophos vs Cisco Meraki: comparativo de firewalls

Sophos vs Check Point 2026: comparação prática de firewalls

Sophos vs Check Point 2026: comparação prática de firewalls

Pesquisar