Sophos Firewall: Hakuna CVE, lakini Imejaa Bugs (v21.5 hadi v22)

3 Machi 2026 • 20 min read

Jedwali la yaliyomo

Ikiwa unafanya kazi katika uwanja wa firewall kwa sasa, mara nyingi unakabiliana na moja ya maovu mawili makubwa: Aidha unakuwa na msongo wa mawazo kila wakati kwa sababu ya udhaifu mkubwa (CVEs, kama ilivyo sasa kwa Fortinet) na unatumia usiku wako kuweka patches - au mifumo inakuwekea vizuizi vingi katika shughuli zako za kawaida kutokana na firmware zisizo imara na bugs zinazokera (kama ilivyo sasa kwa Sophos) kiasi kwamba huwezi kufanya chochote kingine.

Katika kazi yangu ofisini, hili la mwisho ndilo hasa linalotokea - msongo wa mawazo ambao kwa kawaida hujikuta nikiupeleka hadi nyumbani wakati mwingine. Kichomi chetu cha sasa kinaitwa: Sophos Firewall.

Wakati washindani kama Fortinet wanaonekana kutoa matangazo mapya ya PSIRT kila wiki, wakiwaweka wasimamizi katika mzunguko wa mara kwa mara wa kuweka patches, Sophos inamaliza muda wetu kwa kiasi kikubwa. Sio kwa sababu ya udhaifu unaotawala vichwa vya habari, bali kwa sababu ya bugs za kawaida kabisa, lakini ni muhimu katika shughuli za kila siku.

Kanusho (Disclaimer), ili hili lisionekane kama kulinganisha matufaha na machungwa: Ninafahamu fika kuwa Fortinet pia inapambana na bugs kubwa (fikiria Conserve Mode na Memory Leaks katika FortiOS 7.2/7.4/7.6) na kwamba Sophos pia imekuwa na sehemu yake ya CVEs mbaya huko nyuma. Hata hivyo, katika awamu ya sasa ya v21.5/v22, hali hii mahususi ndiyo inayotuumiza: Kwa mchuuzi mmoja, ni kuweka patches za CVE mfululizo; kwa Sophos, ni kazi za uendeshaji (Ops-Work) zisizo za lazima zinazosababishwa na matatizo ya uthabiti (stability).

Muktadha wa Toleo (Kwa Ufupi)

Ili kuweka wazi kwamba siandiki kuhusu v19 ya zamani yenye vumbi, bali kile ambacho wengi kwa sasa wanakiendesha kama “kilichosasishwa” (up-to-date):

SFOS 21.5 GA (02.06.2025): Vidokezo vya Toleo (Release Notes): SFOS 21.5
SFOS 21.5 MR2 (Build 323, 18.02.2026): Kulingana na vidokezo vya toleo, hii ndiyo 21.5 ya hivi karibuni katika kipindi hiki.
SFOS 22.0 GA (Desemba 2025) na v22 GA Re-Release (Build 411, 20.01.2026): Vidokezo vya Toleo: SFOS 22.0

Haya ni matoleo ya GA (General Availability) na Maintenance Releases, si matoleo ya “nightlies” ya kubahatisha.

Ili kuhakikisha kuwa ulinganisho huu hautegemei hisia tu, huu hapa ni uchunguzi wa haraka wa uhalisia.

Fortinet: FortiOS CVEs tangu Novemba 2025 (Hadi 26.02.2026)

Muda: 01.11.2025 hadi 26.02.2026 (Tarehe ya Kuchapishwa). Chanzo: Matangazo ya Fortinet PSIRT (Muhtasari wa PSIRT).

Sikusudii kuorodhesha “kila kitu cha Fortinet” hapa, bali tu matangazo yanayohusiana na FortiOS/FortiGate katika kipindi hiki, kwa sababu katika uhalisia, hapo ndipo kuna maumivu: inabidi uweke patch, upange, ujaribu.

Alama ya CVSS sio kila kitu, lakini inafanya utofauti wa kiutendaji uonekane: Kiwango cha Kati (Medium) chenye alama 5.x mara nyingi kinaweza kupangwa, huku alama ya 9.x inageuka haraka kuwa hali ya “acha kila kitu na uweke patch”.

Iliyochapishwa tarehe 10 Februari 2026 (Matangazo mengi siku hiyo hiyo)

FG-IR-25-667 (CVE-2025-55018, CVSSv3 5.2): Request smuggling katika FortiOS GUI. Inaudhi pia kwa sababu inahusisha “unlogged requests” (maombi yasiyorekodiwa kwenye logi).
FG-IR-25-795 (CVE-2025-64157, CVSSv3 6.7): Tatizo la Format-String katika hali ya CAPWAP Fast-Failover (Admin/Config kama kichochezi).
FG-IR-25-1052 (CVE-2026-22153, CVSSv3 7.5): Bypass ya Uthibitishaji (Authentication) wa LDAP katika Agentless VPN/FSSO (Workaround inayotumika sana kwenye uhalisia: zima unauthenticated bind kwenye server ya LDAP).
FG-IR-25-934 (CVE-2025-68686, CVSSv3 5.3): Bypass ya SSL VPN Symlink Persistence Patch. Muhimu kwa muktadha: Kulingana na tangazo, inahitaji maelewano ya awali kupitia udhaifu mwingine katika kiwango cha mfumo wa faili.
FG-IR-25-384 (CVE-2025-62439, CVSSv3 3.8): Policy Bypass katika FSSO Terminal Services Agent (Marekebisho ni muunganiko wa toleo la FortiOS na toleo la chini zaidi la TS Agent).

Januari 2026

FG-IR-26-060 (CVE-2026-24858, CVSSv3 9.4), iliyochapishwa 27.01.2026: Administrative FortiCloud SSO Auth Bypass. Tangazo pia linaelezea unyonyaji in the wild na hatua madhubuti za kukabiliana nao.
FG-IR-25-084 (CVE-2025-25249, CVSSv3 7.4), iliyochapishwa 13.01.2026: Heap-based buffer overflow katika daemon cw_acd (FortiOS/FortiSwitchManager).

Iliyochapishwa tarehe 9 Desemba 2025

FG-IR-25-647 (CVE-2025-59718, CVE-2025-59719, CVSSv3 9.1): FortiCloud SSO Login Auth Bypass kupitia ujumbe wa SAML uliochezewa (Kipengele hiki sio cha lazima kwa default, lakini ni halisi kwenye field).
FG-IR-25-411 (CVE-2025-62631, CVSSv3 5.3): Session Expiration isiyotosheleza katika SSL VPN (Muda wa session/Hali ya kubadilisha nywila).
FG-IR-24-268 (CVE-2024-47570, CVSSv3 6.3): Taarifa nyeti huishia kwenye Logi za REST API (ikiwa REST API logging ipo active).
FG-IR-24-133 (CVE-2024-40593, CVSSv3 5.9): Private key inaweza kusomwa na Admin (Hitilafu ya usimamizi wa key, inarekebishika kupitia kiwango cha patch).

Iliyochapishwa tarehe 18 Novemba 2025

FG-IR-25-358 (CVE-2025-53843, CVSSv3 6.9): CAPWAP daemon Stack buffer overflow.
FG-IR-25-632 (CVE-2025-58413, CVSSv3 6.9): CAPWAP daemon Stack buffer overflow nyingine.
FG-IR-25-545 (CVE-2025-54821, CVSSv3 1.8): Bypass ya Trusted hosts kupitia SSH (CLI Edge Case).

Ndiyo, haya ni mengi. Na ndiyo, unaweza kuyasimamia haya kupitia michakato (Patch Window, Staging, Change Management, Maintenance Windows).

Na kisha inakuja upande mwingine.

Sophos: Hakuna Vichwa vya Habari, Lakini Operesheni (Operations) Inawaka Moto

Kwa Sophos, bila shaka tunazungumzia pia kuhusu usalama. Lakini kinachomaliza muda wetu kwa sasa ni bugs tu.

Kwa sasa tuna kazi nyingi zisizo za lazima ofisini kwa sababu tu firewall inaleta matatizo mfululizo. Na wakati fulani, unajikuta ukijiuliza swali ambalo kiuhalisia ni la kipuuzi:

Ni nini nikipendacho zaidi: firewall yenye udhaifu wa kiusalama lakini inafanya kazi kwa uthabiti, au firewall isiyo na vichwa vikubwa vya habari vya CVE lakini ambayo haiwaki baada ya ku-boot?

Huu sio mjadala wa kitaaluma (academic debate). Hii ni Operations. Kwa masikitiko, siku hizi ninapendelea karibu kuwa na udhaifu wa kiusalama wa kinadharia ambao labda unaweza kutumiwa vibaya wakati fulani kuliko mteja ambaye mtandao wake uko chini kabisa kwa saa kadhaa tena kwa sababu ya bug ya kijinga.

Vipengele Vyetu vya Maumivu vya Sasa (Ndiyo, Vyote kwa Pamoja)

Na ili kuweka wazi: Hizi ni bugs ambazo tumekumbana nazo mara kadhaa na kwenye mifumo tofauti katika miezi ya hivi karibuni. Inachosha na inakatisha tamaa sana wakati operesheni inageuka kuwa mradi (project). Hasa unapojikuta tena kwenye mzunguko wa Support wa Sophos, na wanapenda kujifanya kwamba wewe ni “mteja wa kwanza na wa pekee ulimwenguni kote aliye na tatizo hili haswa”. Hapana, sisi sio.

Wakati mwingine firewall haiwaki kwa usahihi baada ya ku-boot.
HA cluster inavunjika au kufanya kazi kama split-brain.
Logging inakuwa isiyoaminika ghafla (au kutoweka kabisa).
Vyeti vya Let’s Encrypt havijirenew, na inabidi uvifuatilie kwa mikono (manually) usiku.
Interface inakosekana au ghafla haionekani tena kwenye GUI.
SSDs zinakufa (uharibifu wa hardware).
WebAdmin login inagoma kabisa – huwezi tena kuingia, mara nyingi reboot ndiyo husaidia.
Interfaces zinapotea ghafla kabisa kutoka kwenye configuration.
Diski ya logi inajaa, na kusababisha ujumbe wa hitilafu kutokea au huduma zilizoathirika kusimama moja kwa moja.

Jamii inasema nini (Hauko peke yako!)

Ikiwa utatazama kwenye Jamii ya Sophos (mapema 2026), picha ya kushuka kwa ubora kwa masikitiko inaendana na uzoefu wetu. Mbali na matatizo yetu, watumiaji wengine wanakumbana na vizuizi vikubwa (showstoppers) katika v21.5 / v22:

SSL VPN Profiles zilizovunjika (v22.0 Build 411): Baadhi ya watumiaji wanaripoti kwamba baada ya kupandisha daraja (upgrade) hadi v22 ya hivi karibuni, kuunda SSL VPN profiles kunashindwa. Wakati mwingine walilazimika kufanya rollback hadi v21.5 kwa sababu toleo jipya lina bugs nyingi sana.
SNAT / Web server access iliyovunjika (v22.0 Build 365): Kuna ripoti kwamba baada ya update, ufikiaji wa web servers za ndani kutoka nje unakatika. Mara nyingi, internet routing inagoma kabisa mpaka SNAT irejeshwe kwa mikono (manually) kwenye chaguo la default la MASQ.
CLI Spam / “Invalid rule id”: Maonyo makubwa kama “Invalid rule id or family for update” yanaonekana kwenye console. (Hili linaonekana kuwa “tu” hitilafu ya kuonyesha (display error), lakini inajaza logi bila sababu).

Na sehemu chungu zaidi ya haya yote: Kila kimoja cha vitu hivi si cha kuudhi tu, bali ni hatari kubwa. Ikiwa logi zinakosekana, unaruka upofu (flying blind). Ikiwa HA inatetereka, unapoteza imani katika failover. Ikiwa vyeti havijirenew, unaunda workarounds. Na workarounds ndiyo uwanja wa kuzaliana (breeding ground) kwa matukio ya baadaye.

Sophos Bugs (v21.5 hadi v22): Zile zinazopiga dalili zako moja kwa moja

Kwa makusudi ninaorodhesha hapa NC-IDs maalum kutoka kwenye Release Notes rasmi au Known Issues zilizoorodheshwa rasmi ili wewe, kama admin, uweze kufuatilia hili kwa uwazi.

Kwa Ufupi: Dalili -> Nini kinasemwa kwenye Notes

Dalili katika Ops	Mifano kutoka kwa Release Notes / Known Issues
Boot/Restart haiwaki kwa usahihi	NC-151715, NC-152641, NC-123910
HA inatetereka au kuwa na panic wakati wa failover	NC-142962, NC-132291, NC-147307, NC-147739, NC-149039
Logs/Reports zinapotea au haziaminiki	NC-158526, NC-160962, NC-157663, NC-169237, NC-135594, NC-175936, NC-170292, NC-166381
Let’s Encrypt/WAF inasababisha stress	NC-148937, NC-152022, NC-140663, NC-141062, NC-152540, NC-146082, NC-159041
Entra SSO/Captive Portal/VPN Portal zinaleta shida	NC-167126, NC-157635, NC-167130, NC-167128
VPN/IPsec haipandi au interop inavunjika	NC-136352, NC-128116
Traffic Drops bila sababu wazi ya sheria (Rule)	NC-169842 (na baada ya upgrades weka IPS/Snort kama sababu)
Interface “haipo” (UI)	Known Issue: Majina ya interface yenye namba 10+ yanafanya interfaces zisionekane katika WebAdmin view

Hadithi inayoleta kuchanganyikiwa kutoka kwa Operations

Tunakaa pale asubuhi na kufanya kile ambacho huwa unafanya: Kufanyia kazi tickets, kupanga mabadiliko, kusoma ufuatiliaji (monitoring).

Na kisha firewall inagonga hodi, bila kugonga.

Sio kwa CVE, sio kwa “Critical Advisory”. Bali kwa maisha ya kila siku.

Kahawa ya kwanza, restart ya kwanza, na swali kichwani mwako: Itarudi tena au la?

Ikiwa mambo yatakwenda vizuri, inarudi. Ikiwa mambo yataenda vibaya, inatua mahali fulani kati ya “Failsafe” na “ipo hai, lakini haichakati traffic”. Na wakati bado unajiuliza ikiwa kweli unahitaji cable ya console tena, sura inayofuata inafunguliwa.

HA (High Availability). Airbag yako. Na wakati mwingine inahisi kana kwamba airbag imefunguka wakati una-park.

Kisha logging. Sote tunajua: Ikiwa huwezi kuona kinachotokea, huwezi kukidhibiti. Na ghafla logi zinakosekana, ripoti ni tupu, au huduma inakuaga. Unasimama pale ukijiuliza kama kwa sasa una tatizo la kiusalama, tatizo la ubora wa data, au yote mawili.

Na kisha inakuja kizuizi kikuu (showstopper): WAF, Reverse Proxy, Let’s Encrypt.

Hutaki hata kuwa fancy. Unataka tu vyeti vi-renew na tovuti zako zisipige kelele “connection refused” saa 02:13 asubuhi.

Na kama bonus, interface “inapotea”. Haipotei kweli, inapotea tu kwenye UI. Traffic inaweza kuwa bado inatembea, lakini huwezi kuona kile unachohitaji kufanyia debug.

Wakati fulani, unajiuliza swali hili ambalo kiuhalisia ni la kipuuzi:

Ni nini nikipendacho zaidi: firewall yenye udhaifu wa kiusalama lakini inafanya kazi kwa uthabiti, au firewall isiyo na vichwa vikubwa vya habari vya CVE lakini ambayo kiutendaji inanichomea matundu mapya sakafuni kila wiki?

1) Boot, Reboot, Upgrade: “Iko hai, lakini haifanyi kazi”

Ikiwa firewall haiwaki kwa usahihi baada ya ku-boot, hilo si suala la “uptime” tu. Hiyo ni siku iliyopotea pamoja na hatari, kwa sababu katika hali kama hiyo, huwa unafanya mambo ambayo hungefanya kamwe vinginevyo.

Mifano michache kutoka kwenye Release Notes za SFOS 21.5:

Failsafe wakati wa restart: NC-151715 (Usimamizi wa Firmware): Kifaa cha Auxiliary kiliingia Failsafe wakati wa restart; restart ilishindwa.
Traffic inasimama baada ya upgrade: NC-152641 (Usimamizi wa Firmware): Baada ya upgrade (21.0 MR1 Build 237), hakuna traffic iliyochakatwa (Mabadiliko ya SWAP Memory Config).
Kernel Panic: NC-123910 (Firewall): Tatizo la Kernel panic.

Na ndiyo: SFOS 22.0 inaleta sababu ya ziada ya upgrade: Sophos inaeleza katika Release Notes kwamba v22 inaleta mabadiliko ya kisanifu (architectural) na kwamba katika hali nadra hatua za ziada za manual zinaweza kuhitajika. Hii ndiyo hasa aina ya upgrade edge case inayoumiza kwenye operations.

2) HA: Airbag inayofunguka wakati una-park

HA ni wavu wako wa usalama (safety net). Na ndiyo maana inauma sana pale edge cases zinapoongezeka hapo hapo.

Kutoka kwenye Release Notes za SFOS 21.5 (Chaguo):

HA Event Tracking inasimama wakati wa restarts zinazofanana: NC-142962 (HA).
Kupakia Firmware (Firmware Upload) kwenye Passive kunaning’inia (hangs): NC-132291 (HA).
Failover inasababisha Restart Loop: NC-147307 (HA) (imeelekezwa wazi kwa mfano XGS 2300 katika notes).
Sync inafeli baada ya kukatika kwa umeme (Power Outage): NC-147739 (HA).
HA Status ina-flap, Crash Dump kwenye Dedicated Link: NC-149039 (HA).

Kwangu mimi, hii ndiyo sababu hasa kwa nini “bugs” sio tu “operations”. Wakati logging/reporting inapotetereka, hilo ni tatizo la kiusalama.

Kutoka kwenye Release Notes za SFOS 21.5 (Chaguo):

Logging/Reporting inasimama mara kwa mara; Garner ina coredump mara kwa mara: NC-158526 (Logging Framework).
Garner na fwcm-heartbeatd zinasimama: NC-160962 (Logging Framework).
Baada ya Upgrade: hakuna ripoti tena: NC-157663 (Logging Framework).
Log Viewer inapoteza events kutokana na DB Corruption: NC-169237 (Logging Framework).
Syslog file descriptor (fd) corruption, data inaenda kwenye FD mbaya: NC-135594 (Logging Framework).

Zaidi ya hayo, utapata baadhi ya vipengele katika Sophos Known Issues List (KIL) ambavyo vinaumiza vilevile katika maisha ya kila siku:

Log Viewer haionyeshi data mpya (active.db haipo): NC-175936 (Logging Framework). Kwenye baadhi ya mifumo ya 21.5.1, active.db chini ya /tmp/eventlogs/ inaweza kuwa inakosekana. Kisha Log Viewer inakuwa “freeze”, ingawa traffic na kazi za kiusalama zinaendelea. Kulingana na KIL, hili limesuluhishwa katika v22 na linapaswa kujumuishwa katika marekebisho ya 21.5 MR2.
False Positive “advanced threat detected” kwenye HA: NC-170292 (Logging Framework). Sophos Central inaweza kutuma alert katika HA deployments, ikiwa ni pamoja na raw logs katika maelezo. Workaround kulingana na KIL: restart huduma ya Garner. KBA: https://support.sophos.com/support/s/article/KBA-000043672
ReportDB_v9 inaonyesha STOPPED (inaonekana ya kutisha, lakini sivyo): NC-166381 (Reporting). Baada ya upgrade hadi v21.0 GA au baadaye, huduma hii inaonekana kama STOPPED baada ya muda maalum. Kulingana na KIL, hii inatarajiwa na haina athari yoyote ya kiutendaji kwa sababu inaathiri tu reporting za zamani (legacy) kabla ya v21.

Na hapa ndipo “Sophos Central Factor” inapokuja: Ikiwa unatumia Central kama Single Pane of Glass, tatizo la logging linaumiza mara mbili zaidi. Ikiwa local logging pipeline (Garner/DB) itaanguka, upload kuelekea Central Firewall Reporting (CFR) pia inaweza kufeli au kuhang. Na CFR huwa sio “realtime” kila wakati. Inamaanisha: Katika hali mbaya zaidi, haukosi tu logi za ndani, bali pia unakosa mtazamo mkuu (central view) ambao ulitaka kuutegemea katika maisha ya kila siku.

4) WAF na Let’s Encrypt: Huduma ya Umma, Lakini tafadhali bila drama

Wakati vyeti (certificates) havijirenew na reverse proxy inachanganyikiwa, hiyo sio “bug ndogo”. Hiyo ni Customer Impact (Athari kwa Mteja) ya moja kwa moja.

Kwenye Release Notes za SFOS 21.5 utapata familia nzima ya matatizo ya WAF/Let’s Encrypt:

Kuunda cheti cha Let’s Encrypt kunashindwa: NC-148937 (WAF).
LE Request inashindwa kwa sababu Auto-Firewall-Rule haipo: NC-152022 (WAF).
Invalid LE Config inasababisha Reverse Proxy kurestart kila wakati: NC-140663 (WAF).
ACME haitoi vyeti kwa ajili ya IPs: NC-141062 (WAF).
WAF Rule inajiwasha/kujizima yenyewe (toggles on/off): NC-152540 (WAF).

Na kisha kuna mada ambazo “zinaonekana kama bug, lakini ni security tradeoff”. Mfano kutoka KIL:

Encoded slashes (%2F) kwenye URLs: WAF inarudisha 404: NC-159041 (WAF). Ikiwa app yako inatumia encoded slashes kwenye URL, Apache ina-block hii kwa default (Maelekezo AllowEncodedSlashes yamewekwa kwenye No by default) na unaona 404, ingawa backend “kiuhalisia” ina hiyo njia (path). Historia: encoded slashes zinaweza ku-bypass path restrictions (mfano wa kawaida: .../something%2F..%2Fadmin). Maelezo: https://httpd.apache.org/docs/2.4/mod/core.html#allowencodedslashes

Na ikiwa unataka kujua jinsi hii inavyoonekana uwanjani (in the field): Katika thread hii ya community, mtu anaelezea kwamba baada ya upgrade hadi 21.5.x, vyeti vya auto-renew “vilipotea”, WAF haikuanza, na tovuti zilikufa kwa ERR_CONNECTION_REFUSED. Suluhisho mwishoni lilikuwa: Kusafisha Web Protection Rules na kufuta LE CSR zilizovunjika, na baada ya hapo ilifanya kazi tena. (Thread: WAF/Let’s Encrypt baada ya Upgrade, ERR_CONNECTION_REFUSED).

Na wakati mwingine hata sio “bug”, bali ni mchakato: Katika Sophos Community, pia kumekuwa na visa ambapo Masharti ya Huduma (Terms of Service) ya Let’s Encrypt yaliwekwa alama kuwa yameisha muda wake (expired) kwenye WebAdmin na ilibidi yakubaliwe tena. (Thread: Let’s Encrypt Terms of Service have expired).

“Upgrade trap” nyingine ya kawaida kutoka Known Issues List: Upgrade inaweza kufeli ikiwa cheti cha ndani (onboard) tayari kina jina sawa na vyeti vipya vya Let’s Encrypt vilivyoletwa kwenye CA Store (NC-146082).

5) “Interface Moja Imepotea” (au haionekani tu)

Aina hii ya bug inasikika kawaida kwenye Release Notes, lakini inakulazimisha kuruka upofu (blind flight) kwenye matumizi halisi.

Imerekodiwa rasmi kama Known Issue:

Ikiwa physical au logical interface katika SFOS 21.5 GA na baadaye ina jina linaloishia na namba 10 au zaidi (Mfano kwenye notes: VLAN_1234567890), basi physical interfaces hazionekani kwenye WebAdmin chini ya Network > Interfaces, au logical interfaces haziwezi kupanuliwa (expand). Muhimu: Kulingana na Release Notes, kazi (function) haiathiriwi, bali ni muonekano tu kwenye WebAdmin Console ndio unaoathirika.

Hitimisho la muda (hadi hapa): Boot/Upgrade, HA, Logging/Reporting, WAF/Let’s Encrypt na hata UI vinaweza kukukwamisha kwa wakati mmoja. Kuanzia hapa zinakuja mada ambazo mwanzoni zinaonekana kama “network details” lakini kiutendaji ni za gharama sawa: Entra SSO, VPN Interop, na traffic drops zinazoonekana kama random.

6) Identity/SSO (Entra) na Captive Portal: Wakati Access inapoonekana kama “Random”

Hili ni kundi la bugs ambalo ni hatari hasa kwenye operations: Kwa mtumiaji (User), inaonekana kama “akaunti yangu inasumbua”. Kwako wewe, inaonekana kama “hili ni tatizo la SSO tu”. Kwenye uhalisia, mara nyingi firewall inakuwa katikati.

Masuala machache yaliyo wazi (open issues) kutoka KIL ikiwa Microsoft Entra ID (Azure AD) iko kwenye mchanganyiko wako:

Sophos Connect VPN: Conditional Access haitumiki kikamilifu: NC-167126 (Authentication). Baada ya changamoto ya awali ya MFA wakati wa login ya kwanza, hundi za conditional access hazichochewi (trigger) lazima kwenye kila muunganisho unaofuata. Kulingana na KIL, utekelezaji wa sera (policy enforcement) haufanyiki tena mpaka mtumiaji afanye logout manually kwenye Sophos Connect Client.
VPN SSO: UPN na Email tofauti, Login inavunjika: NC-157635 (Authentication). Ikiwa Email ID na UPN kwenye Entra ni tofauti, watumiaji wanaweza kupata VPN Portal, lakini si SSL VPN au IPsec Portal. Sababu kulingana na KIL: OAuth header inatoa Email, ambayo baadaye inatafsiriwa kama UPN.
Captive Portal: Watumiaji wa Entra SSO wanahitaji Primary Group kwenye Rule: NC-167130 (Authentication). Ufikiaji wa mtandao (Internet access) hufanya kazi tu ikiwa unatumia Primary Group kwenye Firewall Rule Match (Secondary Groups hazihesabiwi hapa). Suluhisho kulingana na KIL liko kwenye “maintenance releases zijazo”; Workaround: mechi Primary Group kwa uwazi (explicitly) au tumia sheria zinazotegemea mtumiaji (user-based rules).
Makosa ya “no permission” (hakuna ruhusa) ya mara kwa mara na Entra SSO: NC-167128 (Authentication). Inaweza kutokea wakati Entra ID Auth na On-Prem AD Auth zinatumiwa kwa pamoja (parallel) (Token-Reuse). Workarounds kulingana na KIL: futa browser cookies au “force re-logon” kwenye Sophos Connect Client. Vinginevyo, tumia njia moja ya uthibitishaji (authentication method) mfululizo.

7) VPN/IPsec Interoperability (Interop): Upgrades mara nyingi hufeli kwa sababu ya “Mpinzani”

Mada mbili za KIL ambazo hazikuanza tu na 21.5, bali zinaendelea kuwa muhimu kwenye 21.5/v22 mara tu unapokuwa na wateja wa zamani (old clients) au remote peers field:

IPsec IKEv2: Tunnel haiwaki (Fragmentation/PMTU): NC-136352 (IPsec). Kuanzia 20.0 MR1, default IKEv2 profile inaweza kuzalisha packets kubwa zaidi (default fields zaidi), wakati mwingine zaidi ya 1500 bytes. Ikiwa fragmentation/PMTU kwenye njia (path) ni mbaya (fragments zinatelekezwa), S2S tunnel haitawaka. Upunguzaji (Mitigation) kulingana na KIL: punguza DH Groups kwenye IPsec profile (Kiwango cha chini 4) au configure haswa group(s) zinazotumiwa na remote peer.
SSL VPN/OpenVPN 2.6.0: Kutokubaliana (Incompatibility) na EoL Clients/UTM9: NC-128116 (SSLVPN). Kuanzia 20.0 MR1, OpenVPN ipo kwenye 2.6.0. Hii inavunja site-to-site SSL VPNs na matoleo ya zamani ya SFOS (18.5 na za zamani), legacy SSL VPN clients (EoL) na UTM9 OS, miongoni mwa mengine. Pendekezo kulingana na KIL: upgrade pande zote mbili au badilisha kwenda IPsec/RED; Remote: tumia Sophos Connect au OpenVPN clients za sasa.

8) Traffic Drops bila Rule Hit: Accurate ECN kama sababu mbaya

Wakati traffic inaonekana kudondoka (drop) kwa “random”, kitu cha kwanza unachokiangalia ni rules, IPS, TLS inspection na routing. Na baada ya firmware upgrades, classic nyingine inaongezwa kwenye orodha: IPS engine (Snort) au signatures zinakuwa kali zaidi, zina-block traffic halali (legitimate), na hupati log event ya wazi kwa hili mara moja. Kisha unatumia masaa kufanya debug ya “routing” au “rules”, ingawa mwisho wa siku ni kazi ya policy au tuning.

Hata hivyo, KIL pia ina mgombea ambaye anaweza kukuweka busy kwa muda mrefu sana ikiwa hujamweka kwenye rada yako:

Traffic inadondoshwa (dropped) kwa sababu ya Accurate ECN Bits: NC-169842 (Firewall). Accurate ECN ina-set TCP bits (ECE/CWR/NS) kwa njia tofauti (RFC 7560). Kulingana na KIL, kernel inatafsiri hii kama “reserved bit set” na kuidondosha traffic. Ili kupunguza hili, kuangalia upande wa mteja (client side) kunasaidia: Katika uhalisia, hii inaweza kuonekana zaidi kwenye Linux kernels mpya au Apple clients, kwa sababu huwa wanatumia RFC 7560/Accurate ECN kwa utendaji zaidi (“kwa nini MacBooks pekee ndizo zinazotolewa nje?”). RFC: https://www.rfc-editor.org/rfc/rfc7560

9) v22 GA Re-Release Build 411: Kwa nini ilihitajika hapo mwanzo

Mnamo tarehe 20 Januari 2026, Sophos ilisukuma v22 GA kama re-release (Build 411) ili kurekebisha “matatizo nadra na yaliyojitenga”. Orodha hii inasomeka kama hits bora (Best-Of) za “kazi isiyo ya lazima katika change window” (Chanzo: Blogpost ya Jumuiya ya Sophos kuhusu Re-Release):

NC-171003: WebAdmin haifikiwi kupitia Bridge Interface yenye VLAN filtering.
NC-170987: CLI Spam Log “Invalid rule id or family for update”.
NC-170970: DNAT Traffic inafeli ikiwa DNAT Rule ina outbound interface maalum.
NC-171600: Data ya SSL/TLS Widget na Session Chart si sahihi/tupu.
NC-172197: Hakuna SNMP configuration inayoweza kuongezwa.

Blogpost: v22 GA re-release (Build 411) is now available.

Uharibifu Halisi: Bugs zinafanya Usalama uwe Ghali Zaidi

Hoja sio kwamba “bugs ni mbaya zaidi kuliko CVEs” au kinyume chake.

Hoja ni hii: Wakati operations yako inapotetereka, usalama (security) nao unashuka moja kwa moja.

Unachelewesha upgrades kwa sababu unaogopa regression bug inayofuata.
Una-disable features (“hatuzihitaji kwa sasa”) kwa sababu zinasababisha stress.
Unapoteza observability (logi), ambayo inamaanisha kuchelewa katika majibu.
Unawekeza muda katika kuzima moto (firefighting) badala ya kufanya segmentation, backups, na kuandika sheria safi (clean rules).

Na jambo moja ambalo mara nyingi hudharauliwa kiutendaji ni: Time-to-Resolution (Muda wa Kutatua). Ukiwa na CVE, kwa kawaida unakuwa na Advisory, Mitigation, na Fix. Ukiwa na bug, mzigo wa uthibitisho (burden of proof) unamuangukia admin haraka: tcpdump, CTR logs, Advanced Shell export, “umejaribu kuizima na kuiwasha tena?” - huku production inawaka moto. Na hapo ndipo unapoingia kwenye mzunguko wa support: ku-escalate tatizo, kusubiri hotfix au MR inayofuata. Hili linatumia muda wa ziada wa ops ambao haukupanga.

Na ndiyo maana hasa lile swali “Afadhali udhaifu, lakini iwe stable?” ni la kibinadamu, lakini kiuhalisia ni njia isiyo sahihi:

Si tu “udhaifu” ndio tatizo la kiusalama. “Firewall isiyo imara” pia ni tatizo la kiusalama.

Tunachojifunza Kutokana na Hili (Ili isizidi kuwa mbaya)

Mambo machache ambayo hutusaidia kudhibiti wazimu huu bila kuhitaji kugundua gurudumu upya kila wiki:

Upgrade-Preflight (Kabla Hujaanza)

Chukulia Backups kama Restores: Export config, fanya backup offline, na angalau mara moja ujaribu kama restore inafanya kazi.
Hali ya HA kuwa “kijani (green)” haitoshi – fanya jaribio la failover! Kulingana na GUI, sync yetu ilikuwa sawa na heartbeat ilikuwa safi. Lakini wakati wa dharura, kifaa cha Auxiliary hakikuchukua failover vizuri. Alama ya kijani (green checkmark) kwenye WebAdmin kwa sasa kwa masikitiko sio hakikisho kwamba itafanya kazi wakati wa change-window.
Thibitisha Logging: External Syslog/Collector inapokea events, hakuna mapengo, muda/NTP uko sawa.
Kagua Certificates/WAF: Tarehe za kuisha muda (Expiry dates), Let’s Encrypt validation, na fallback certificate kama Plan B.
Fanya mtihani wa kweli kwa SSO/VPN: Entra Login, Captive Portal, Sophos Connect, SSL VPN, IPsec S2S (pamoja na failover) hizi ni test cases zinazojitegemea.
Kuwa tayari kwa Break-Glass: Console/Out-of-band access, local admins, na firmware images kwa ajili ya rollback.
Usisahau Dual-Boot (na usiipe thamani kupita kiasi): Sophos ina firmware partitions mbili. Kama upgrade itaenda kombo, rollback hadi 21.5 mara nyingi inakuwa ni kureboot tu na kuchagua partition nyingine. Lakini: Pia kuna matukio ambapo partition ya pili haifanyi boot vizuri, na hapo ni reimage tu inasaidia (ambayo support inaonekana kuidai haraka sana). Na hata reimage huwa haisuluhishi chanzo halisi cha tatizo (root cause) kila wakati.

Wakati wa Upgrade (Ikiwa HA inahusika)

Passive/Secondary kwanza, kisha Failover, kisha Active.
Thibitisha kwa ufupi (validate) baada ya kila hatua: Traffic, VPN, DNS, Logging, WAF/Reverse Proxy.

Kwenye Operations Zinazoendelea (Ongoing Operations)

Ijaribu HA, sio tu kui-configure: Failover drills na vigezo wazi kuhusu wakati wa kutenganisha (split) cluster.
Chukulia Logging kama Bidhaa: Alerts kwa mapengo ya logi (log gaps), Service Health, na export ya dharura kupitia CLI kama UI itasumbua.
Fuatilia Vyeti (Certificates) kikamilifu: Kurenew (Renewal) sio jambo la “nice to have”, bali ni hatari ya kiutendaji. Shughulikia mabadiliko ya ToS sawa na Mabadiliko ya Miundombinu (Changes).
Health Check kama dokezo, sio KPI: Katika v22, Sophos ilianzisha Health Check (Maelezo katika makala yangu Sophos Firewall v22 Health Check - Muhtasari Kamili ). Hii ni nzuri kama orodha ya mambo bora ya kufanya (best-practice checklist), lakini wakati mwingine inahisi kama “kubadili swichi za mfumo ziwe kijani tu”. Mfano kutoka kwenye uhalisia: Watu wengi wana-activate Login Disclaimer tu ili kupata alama ya kijani kwenye Health Check. Kitu ambacho mimi hukikosa hapo ni viashiria thabiti vya kiutendaji kama vile “je, Logging/Reporting DB ni mzima?” au “SSD ina hali gani?” - hasa kwa sababu baadhi ya vifaa (appliances) vimeonyesha matatizo ya storage haraka kuliko ilivyotarajiwa.

Hitimisho: Wakati Chombo kinapokuwa Hatari yenyewe

Mwisho wa siku, sote tuko kwenye boti moja. Tunasimamia miundombinu (infrastructure) muhimu na tunapaswa kuwa na uwezo wa kutegemea zana (tools) ambazo zinatakiwa kutulinda dhidi ya machafuko, badala ya zenyewe kusababisha machafuko. Kutokana na ubora wa sasa wa firmware (v21.5 / v22), Sophos hakika ina kazi nyingi sana za kufanya (homework). Imani katika “matoleo thabiti (stable releases)” imepata pigo kubwa kwetu na kwa wengi wengine katika community.

Sitaki firewall ambayo “aidha ni salama au thabiti (stable)”. Ninataka - hapana, ninahitaji - firewall ambayo ina vyote viwili.

Hadi Sophos itakapoweza kudhibiti haya matatizo ya ubora, katika operations tunabakiwa na chaguo moja tu: Lazima tuwe na nidhamu zaidi, tuache kujali “alama ya kijani” kwenye UI, na tuchukulie bugs za kawaida katika upangaji wa deployment kwa uzito ule ule tunaochukulia CVEs muhimu.

Tutaonana wakati ujao,
Joe