Sophos Firewalls: Kritische Sicherheitslücke wird angegriffen
Angreifer nutzen eine Schwachstelle in Sophos Firewalls aus, durch die sie eigenen Code auf verwundbare Maschinen schieben. Softwareflicken dichten das Leck ab.
(Bild: alphaspirit.it/Shutterstock.com)
Sophos warnt vor einer aktiv angegriffenen Sicherheitslücke in den Firewalls des Unternehmens. Die Cyberkriminellen können im Nutzerportal und der Webadmin-Oberfläche aus dem Netz Schadcode unterjubeln. Die Lücke hat bereits einen Eintrag in der Common-Vulnerabilities-and-Exposures-Datenbank erhalten (CVE-2022-3236, CVSS 9.8, Risiko "kritisch"). Aktualisierungen zum Schließen der Lücke stehen bereit.
Angriffe auf einige Unternehmen beobachtet
Weiter erläutert der Hersteller, dass die Schwachstelle ausgenutzt wurde, um gezielt einige Organisationen vorrangig in Südasien anzugreifen. Die betroffenen Organisationen habe Sophos direkt informiert. Die Untersuchungen dauerten jedoch noch an. Details will der Hersteller in deren Verlauf veröffentlichen; bis jetzt stehen keine zur Verfügung.
Aktualisierungen zum Abdichten der Sicherheitslücke stehen jedoch schon bereit. Sofern die Option "Allow automatic installation of hotfixes" aktiv ist – laut Sophos die Standardeinstellung –, werde die fehlerbereinigte Software automatisch heruntergeladen und installiert.
Betroffen sind die Sophos Firewalls 9.0 MR1 (19.0.1) und ältere Versionen. Die Fehler bereinigen die Hotfixes 19.0 GA, MR1 und MR1-1, 18.5 GA, MR1, MR1-1, MR2, MR3 und MR4, 18.0 MR3, MR4, MR5 und MR6, 17.5 MR12, MR13, MR14, MR15, MR16 und MR17 sowie 17.0 MR10. Zudem sei der Fix in den Fassungen 18.5 MR5 (18.5.5), 19.0 MR2 (19.0.2) und 19.5 GA enthalten.
Für ältere Softwareversionen stellt Sophos laut der Sicherheitsmeldung keine Hotfixes bereit, sondern verweist darauf, dass Administratoren ein Upgrade auf eine noch unterstützte Fassung vornehmen müssen. Allerdings nennt das Unternehmen auch einen Workaround, um die Schwachstelle nicht im Internet zu exponieren. Dazu sollten Administratoren sicherstellen, dass das Nutzerportal und die Webadmin-Oberfläche nicht im WAN zugreifbar seien. Zum Zugriff darauf sollten IT-Verantwortliche besser auf VPN und/oder Sophos Central setzen.
Zuletzt wurden Sicherheitslücken in Sophos Firewalls vor etwa einem halben Jahr aktiv angegriffen. Auch damals waren primär Organisationen aus dem südasiatischen Bereich Ziel der bösartigen Akteure.
(dmk)
