Sophos schließt Sicherheitslücken in Unified Threat Management-Firmware

Die Unified-Threat-Management-Software von Sophos ermöglichte angemeldeten Angreifern, beliebigen Code einzuschleusen und auszuführen. Diese und weitere Sicherheitslücken schließt der Hersteller mit der Firmware-Version Sophos UTM 9.710 MR10. Zudem enthält die neue Fassung auch nicht-sicherheitsrelevante Fehlerbehebungen.

Abgedichtete Sicherheitslücken

Viele Details nennt der Hersteller in der Sicherheitsmeldung nicht. Eine SQL-Injection-Schwachstelle im Mail-Manager von Sophos UTM könnten angemeldete Angreifer ausnutzen, um möglicherweise Code auszuführen (CVE-2022-0386, CVSS 8.8, Risiko hoch). Zudem enthielten die confd-Logdateien SHA512crypt-Passwort-Hashes lokaler Nutzer einschließlich root, was eine (Offline-)Brute-Force-Attacke gegen die Passwort-Hashes möglich machte (CVE-2022-0652, CVSS 3.3, niedrig).

Das IT-Sicherheitsunternehmen weist auf weitere Sicherheitslücken in Dritthersteller-Komponenten hin, welche die aktualisierten Firmware abdichtet. So waren die eingesetzten Versionen von bind, Strongswan und binutils verwundbar. Zudem hat Sophos die SSH-Sicherheit verbessert, da nur noch als sicher geltende Cipher sowie Schlüsseltausch-Algorithmen für SSH zum Einsatz kommen. Weitere Korrekturen listet Sophos in den Releasenotes auf.

Jetzt aktualisieren

Das Unternehmen verteilt die Aktualisierung in drei Phasen. In Phase eins können Administratoren die Firmware von Download-Server herunterladen und manuell einspielen. Phase zwei liefert das Update dann in mehreren Schüben über die Up2Date genannten Update-Server aus. Vermutlich, wenn dabei keine Unverträglichkeiten zu erkennen sind, werden dann in der letzten Phase drei die übrigen Geräte mit der Aktualisierung ausgestattet.

Da die neue Firmware-Version mehrere Sicherheitslücken schließt, sollten Administratoren zeitnah ein Wartungsfenster für die Installation des Updates einplanen.

(dmk)