Sicherheitsupdate: Sophos Firewall könnte Schadcode passieren lassen

Admins, die ihre Netzwerke mit der Firewall von Sophos schützen, sollten die verfügbaren Patches installieren. Andernfalls könnten Angreifer Systeme attackieren und eigenen Code ausführen.

Authentifizierungsfehler

Aus einer Warnmeldung geht hervor, dass die Lücke (CVE-2022-1040) als "kritisch" eingestuft ist. Aufgrund eines nicht näher beschriebenen Fehlers könnten Angreifer an User Portal und Webadmin ansetzen und die Authentifizierung umgehen. Im Anschluss könnten sie Schadcode ausführen. Das führt generell zu einer vollständigen Kompromittierung von Systemen.

Wie Attacken im Detail aussehen könnten, ist bislang unklar. Aufgrund der kritischen Einstufung (CVSS Score 9.8/10) ist aber davon auszugehen, dass Angriffe mit vergleichsweise wenig Aufwand funktionieren.

Jetzt patchen!

Davon soll Sophos Firewall bis einschließlich v18.5 MR3 (18.5.3) betroffen sein. In der Warnmeldung listet der Software-Hersteller die gegen solche Attacken abgesicherten Versionen auf. Wer das Sicherheitsupdate nicht sofort installieren kann, kann sich vor externen Attacken schützen, indem er die WAN-Verbindung zu User Portal und Webadmin kappt.

Ist die Funktion "Allow automatic Installation of hotfixes" aktiv, soll sich die Firewall automatisch aktualisieren. Ob diese Einstellung standardmäßig eingeschaltet ist, geht aus der Meldung nicht hervor. Mit verschiedenen Befehlen aus einem Beitrag können Admins prüfen, ob die Hotfixes installiert sind.

[UPDATE 28.03.22 09:45 Uhr]

Bedrohte Versionen im Fließtext angepasst.

[UPDATE 28.03.22 14:50 Uhr]

Workaround im Fließtext präzisiert.

[Update 29.03.22 15:30 Uhr]

Sophos hat die Sicherheitsmeldung zwischenzeitlich aktualisiert und erklärt, dass einige Organisationen in der südasiatischen Region über diese Sicherheitslücke angegriffen werden. Die betroffenen Organisationen hat das Unternehmen direkt informiert.

(des)