Jetzt patchen! Tausende Firewalls von Sophos angreifbar

Offensichtlich haben weltweit viele Netzwerk-Admins ihre Firewalls von Sophos noch nicht auf den aktuellen Stand gebracht. Sicherheitsforscher von VulnCheck sind auf rund 88.000 über das Internet erreichbare Firewalls gestoßen, von denen tausende über eine kritische Sicherheitslücke attackierbar sind. Für den Großteil ist seit September 2022 ein Hotfix und seit Dezember sind Sicherheitspatches verfügbar.

Hotfix hoffentlich installiert?

Wie aus ihrem Bericht hervorgeht, sind sie über die Suchmaschine Shodan auf etwa 78.000 Instanzen gestoßen, bei denen das User-Portal über das Internet erreichbar ist. Bei rund 10.000 soll sogar das Web-Admin-Interface erreichbar sein.

Sie geben an, dass davon lediglich 117 Instanzen die abgesicherte Version 18.5.5.509 und 57 die Ausgabe 19.5.0.197 installiert haben. Auf der anderen Seite sind von den Funden 93 Prozent der Firewall-Versionen für einen von Sophos verteilten Hotfix geeignet, der die kritische Lücke (CVE-2022-3236) schließt. Da die Firewalls ihnen zufolge Hotfixes standardmäßig automatisch installieren, sollten die Geräte vor Attacken geschützt sein.

Auf rund 4500 Firewalls sollen aber veraltete Versionen laufen, die mit dem Hotfix inkompatibel sind. Admins sollten also neben dem Versionsstand auch die Logdateien prüfen, um einer möglichen Kompromittierung auf die Spur zu kommen. In ihrem Beitrag führen die Sicherheitsforscher Indicator of Compromise (IOC) auf.

Angriffe

Wie Sophos bereits im Dezember 2022 mitteilte, hat es schon Schadcode-Attacken gegeben. Dafür müssen Angreifer auf das User-Portal oder Web-Admin-Interface zugreifen können. Attacken sind den Sicherheitsforschern aber nicht ohne Weiteres möglich: Für den Zugriff müssen Angreifer ein Captcha lösen, andernfalls schlagen Exploitversuche fehl.

(des)