Sophos Firewall: PDF-Passwortschutz der SPX-Funktion umgehbar
Sophos verteilt aktualisierte Firmware für die Firewalls. Im Secure PDF eXchange können Angreifer den Schutz umgehen und unbefugt PDF-Dateien entschlüsseln.
(Bild: alphaspirit.it/Shutterstock.com)
Sophos hat mit aktualisierter Software eine Schwachstelle in den Firewalls geschlossen, durch die Angreifer das Passwort von mit Secure PDF eXchange (SPX) geschützte Dateien ergattern können. Das ermöglicht den unbefugten Zugriff auf verschlüsselte und gegebenenfalls vertrauliche PDF-Dateien.
In der Fehlerbeschreibung heißt es, dass Angreifer mit vollem E-Mail-Zugriff derart geschützte PDF-Dateien entschlüsseln können. Dazu muss der Passwort-Typ auf "Specified by sender" gesetzt sein (CVE-2023-5552, CVSS 7.1, Risiko "hoch"). Der geschützte PDF-Austausch wird unter anderem von größeren Organisationen genutzt. Auf die Lücke stieß Sophos' Sicherheitsmeldung zufolge die IT für Caritas eG.
Sophos-Firewall: Temporäre Gegenmaßnahme gegen Schwachstelle
Der Support von Sophos beschreibt als temporäre Gegenmaßnahme, dass Administratorinnen und Administratoren auf ein SPX-Template setzen sollen, in dem der "Passwort type" auf "Generated and stored for recipient" gesetzt ist. Die Sicherheitslücke schließen jedoch Updates für Sophos Firewall v19.5 MR3 (19.5.3) und ältere Fassungen.
So stehen Hotfixes für folgende Versionen bereit: v19.0 MR1, MR1-1, MR2 und MR3, v19.5 GA, MR1, MR1-1, MR2 und MR3 sowie für v20.0 EAP1. Die Firmware-Stände v19.5 MR4 (19.5.4) sowie v20.0 GA enthalten die Fehlerkorrektur ebenfalls. Nutzer älterer Versionen der Sophos Firewall müssen auf die letzten Versionen und diese Fixes aktualisieren, schreiben die Supporter weiter.
IT-Verantwortliche sollten prüfen, ob die eigenen Sophos-Firewalls bereits auf dem aktuellen Softwarestand sind. Der Hersteller betont, dass standardmäßig die Option "Allow automatic installation of hotfixes" aktiv sei.
Auch wenn die automatische Aktualisierung Standardeinstellung auf den Firewalls ist, scheint das nicht verlässlich zu umfassend gepatchten Geräten zu führen. Im Januar haben IT-Forscher zigtausende Firewalls gefunden, die durch eine kritische Sicherheitslücke angreifbar waren. Seit dem September des Vorjahres war ein Hotfix verfügbar, im Dezember folgten "normale" Sicherheitspatches.
(dmk)
