trueNetLab ⚡️
Sophos Firewall v22 MR1: atualizar agora ou esperar?

Sophos Firewall v22 MR1: atualizar agora ou esperar?

8 min read
Network Sophos Security

Índice

Com o Sophos Firewall v22 MR1, o primeiro maintenance release da linha v22 finalmente chegou em 20 de abril de 2026. E, honestamente, muitos administradores estavam esperando exatamente por essa versão.

Desde o início, o v22 parecia ambicioso do ponto de vista técnico. Secure by Design, Health Check, uma base de control-plane mais forte, kernel mais rígido e mais profundidade de auditoria. No papel, isso parecia ótimo. Na prática, o arranque foi turbulento. Eu já escrevi sobre essa fase em meu artigo anterior sobre os bugs do Sophos Firewall da v21.5 à v22 .

Por isso, o MR1 não é apenas “a próxima versão”. É o momento em que muitos times começam a perguntar se o v22 finalmente se tornou um candidato sério para produção.

Minha resposta curta é: para alguns ambientes, sim. No escuro e sem testes, ainda não.

O Mais Importante

  • O v22 MR1 é o Build 490 e corrige muitos dos problemas reais que ainda existiam no v22 GA e no re-release Build 411.
  • Os pontos mais relevantes são policy-based IPsec, routing em bridge após upgrade, estabilidade de HA, casos de PPPoE, WAF, SSL VPN e vários temas de autenticação.
  • Ao mesmo tempo, o MR1 ainda traz avisos claros: legacy remote access IPsec saiu, verificações de espaço em disco continuam importantes e o hardware XG/SG segue sem suporte.
  • Se você já está no v22 e preso a problemas concretos, o MR1 merece atenção séria.
  • Se você está estável no 21.5, eu continuaria testando com calma antes de atualizar por impulso.

Por Que o MR1 Importa Tanto

Quando um fabricante publica um major release, depois um re-release e logo em seguida o primeiro maintenance release, isso normalmente já diz bastante. Com a Sophos foi exatamente assim.

O v22 GA original Build 365 foi substituído em janeiro de 2026 pelo GA re-release Build 411. Ali a Sophos já corrigiu vários problemas desagradáveis: acesso WebAdmin em bridge, DNAT com interface de saída específica, spam na CLI com Invalid rule id or family for update, SNMP quebrado e problemas no policy test. Isso ajudou, mas ainda não transmitia tranquilidade.

O MR1 se parece mais com a versão que muitos provavelmente esperavam do v22 desde o início: menos marketing e mais limpeza operacional.

O Que Realmente Melhora no v22 MR1

O valor do MR1 não está em uma grande novidade chamativa. Está no fato de que a Sophos reduz atrito em várias áreas ao mesmo tempo.

Policy-Based IPsec Finalmente Recebe Atenção

Quem usava policy-based IPsec no v22 GA tinha boas chances de encontrar problemas. Nas release notes oficiais, a Sophos lista várias correções exatamente nessa área: túneis mostrados como ativos sem tráfego real, interfaces erradas em diagnósticos, SNAT incorreto em MPLS e até acesso WebAdmin de firewalls branch que quebrava depois do upgrade.

Para mim, esse é o bloco mais importante do MR1. Problemas de VPN nunca são “só um detalhe”. Assim que site-to-site, acesso a filiais ou caminhos SD-WAN dependem disso, um bug de firmware vira rapidamente um problema operacional real.

Bridge, Routing e Firewall Também Foram Ajustados

O MR1 também corrige vários pontos que doem imediatamente em redes reais. A Sophos cita, entre outros:

  • sub-redes inacessíveis em interfaces bridge depois do upgrade para o v22 GA
  • problemas de ping pela WAN de backup na área de diagnóstico
  • mudanças inesperadas de estado em HA com reinícios subsequentes
  • problemas de PPPoE no policy test
  • falhas na exportação de regras de firewall

No papel isso parece uma coleção de pequenos bugs. Na prática, é exatamente o tipo de bug que torna janelas de mudança mais caras do que deveriam ser.

WAF, SSL VPN e Autenticação Também Melhoram

O MR1 inclui correções em áreas que, para muitas empresas, não são opcionais. A Sophos menciona por exemplo:

  • desativação de CAPTCHA na zona VPN que não funcionava corretamente para usuários de SSL VPN no v22 GA
  • Azure AD SSO para o user portal redirecionando para uma página 404
  • problemas com OAuth, certificados e API/MFA
  • reinícios periódicos do serviço SSL VPN em alguns cenários
  • problemas no download de configurações IPsec móveis por permissões erradas de certificado

Se você tem usuários externos, clientes VPN ou aplicações publicadas com WAF, o MR1 remove vários tropeços operacionais.

HA e Storage Continuam Importantes

Também acho importante que a Sophos continue trabalhando na estabilidade geral dentro do ciclo do MR1. Há correções para recuperação de HA após falta de energia, registro de HA no Sophos Central, tráfego de sistema em links dedicados, falhas de upgrade em nós passivos e alta carga causada por problemas de logging e disco.

Isso não é marketing sexy. Justamente por isso é relevante.

O Que o MR1 Não Resolve

Eu evitaria vender a história romântica de que o MR1 deixa tudo verde de repente. Não deixa. Essa versão ainda tem pontos que precisam ser verificados com atenção antes do upgrade.

Legacy Remote Access IPsec Agora É um Bloqueio Real

Esse é provavelmente o aviso mais importante nas release notes atuais. A Sophos afirma explicitamente que a variante legacy de remote access IPsec não é mais suportada no SFOS 22.0 MR1. E o ponto mais importante: firewalls que ainda contenham essa configuração não podem ser atualizados para o MR1.

Se você ainda carrega configurações antigas com clientes de terceiros, não passe por cima disso rapidamente. Verifique de verdade. Caso contrário, um “vamos fazer esse MR hoje à noite rapidinho” pode virar uma janela de manutenção desnecessariamente longa.

Espaço em Disco e Root Resize Continuam Importantes

O segundo grande tema conhecido do v22 também continua: espaço extra. A Sophos segue informando que SFOS 22.0 e versões posteriores precisam de mais espaço e que alguns appliances ou ambientes virtuais exigem preparação manual antes do upgrade.

Mesmo quando o espaço é suficiente, o upgrade pode demorar mais porque a partição root é redimensionada. A Sophos fala em dois a dez minutos extras. Em um escritório pequeno isso é nota de rodapé. Em HA de produção ou janelas apertadas, isso é detalhe real de planejamento.

XG e SG Continuam de Fora

Isso não é novo, mas ainda precisa ser repetido: SFOS 22.0 GA e versões posteriores, incluindo o MR1, não suportam mais hardware XG e SG. Se você ainda tem appliances antigos em laboratório ou sites remotos, não quer descobrir isso no meio do upgrade.

Policy-Based IPsec Ainda Merece Cautela

Justamente porque o MR1 corrige vários problemas de policy-based IPsec, eu também vejo isso como motivo para testar com cuidado. Se você passa rotas específicas, MPLS, routing de filial, peers de terceiros ou acesso administrativo por esses túneis, então teste o MR1 exatamente aí.

Ver o túnel verde não basta. O importante é que tráfego real, caminho de retorno, comportamento SNAT, diagnósticos, acesso GUI e failover realmente funcionem como esperado.

Minha Avaliação Prática

Se eu reduzir a questão à pergunta que muita gente está fazendo agora, ela seria esta:

O v22 MR1 é o primeiro candidato razoável para equipes que pularam o v22 por causa do GA e do Build 411?

Eu diria que sim, em muitos casos.

Não porque a Sophos tenha virado impecável de repente. Mas porque o MR1 limpa de forma visível justamente as áreas em que o v22 doía no dia a dia: bridge, IPsec, HA, auth, WAF, SSL VPN, logging e várias esquisitices de UI e routing.

Ainda assim, eu separaria dois grupos claramente.

Quem Deveria Olhar com Mais Atenção

  • equipes já em v22 Build 411 presas em bugs concretos
  • ambientes que esperam algumas funções do v22, mas frearam por causa da instabilidade inicial
  • administradores que precisam de comportamento melhor em policy-based IPsec ou em determinados fluxos de autenticação e portal

Quem Deveria Ficar Primeiro no Laboratório

  • instalações 21.5 estáveis sem pressão imediata por novos recursos
  • ambientes com legacy remote access IPsec
  • setups delicados com WAF, MFA ou SSO
  • clusters HA que já se comportaram mal com firmwares anteriores

O Que Eu Testaria Antes do Upgrade

Antes de levar o MR1 para produção, eu verificaria estes pontos:

  • confirmar se ainda existe legacy remote access IPsec na configuração
  • exportar backups e pensar seriamente no caminho de restore
  • confirmar espaço livre e possíveis avisos de resize
  • em HA, testar failover em vez de confiar apenas no status visual
  • em policy-based IPsec, validar tráfego real e não apenas o estado do túnel
  • para WAF, portais e SSL VPN, testar login, MFA, redirects e certificados com usuários reais
  • para PPPoE ou cenários WAN específicos, validar policy test e fluxos reais

E mais um ponto: se até agora você enxergou o v22 principalmente pelo novo Health Check, não confunda a camada técnica com a operacional. O Health Check do v22 é útil, e eu o detalhei aqui: Sophos Firewall v22 Health Check - Complete Overview . Mas um Health Check verde não substitui um teste sério de upgrade.

Conclusão

Do meu ponto de vista, o Sophos Firewall v22 MR1 é a primeira release da linha v22 que faz um administrador pensar “isso merece uma avaliação séria” em vez de “melhor esperar mais um pouco”.

Isso é um bom sinal. Mas não é mágica.

Se você já sofre com problemas no v22, o MR1 merece atenção de verdade. Se você vive estável no 21.5, não deixe o nome “maintenance release” dar uma falsa sensação de segurança. Esse upgrade ainda exige preparação, testes e um plano B real.

É exatamente assim que eu trataria a atualização: nem como emergência, nem como no-brainer, mas como aquilo que ela realmente é. O primeiro candidato de upgrade genuinamente interessante desde o começo turbulento do v22.

Até a próxima,
Joe

Sources

Related Posts

Sophos Firewall: Sem CVEs, mas cheio de bugs (v21.5 a v22)

Sophos Firewall: Sem CVEs, mas cheio de bugs (v21.5 a v22)

Anthropic Mythos e Project Glasswing: o que vem para a cibersegurança

Anthropic Mythos e Project Glasswing: o que vem para a cibersegurança

Operação Epic Fury: Sophos alerta para retaliação cibernética global

Operação Epic Fury: Sophos alerta para retaliação cibernética global

© 2026 trueNetLab

Pesquisar