[English]Ein Sicherheitsforscher hat in Sophos Firewalls (v18.5 MR3 und älter) eine Schwachstelle CVE-2022-104 (authentication bypass) gefunden, die die Umgehung der Authentifizierung ermöglicht. Angreifer könnten so die Firewall übernehmen und Schadcode remote ausführen. Sophos hat inzwischen aber einen Hotfix für die betreffenden Firewall-Produkte veröffentlicht.
Anzeige
Der nachfolgende Tweet weist auf das Thema hin, zu dem Sophos diese Sicherheitswarnung zum 25. März 2022 veröffentlicht hat.
In der Sicherheitswarnung gibt Sophos an, dass eine Authentifcation Bypass-Schwachstelle CVE-2022-104 in seinen Firewalls in der Firmware v18.5 MR3 (18.5.3) und älter existiert. Die Schwachstelle wurde über das Sophos Bug Bounty Programm von einem externen Sicherheitsforscher gemeldet. Diese Schwachstelle ermöglicht die Umgehung der Authentifizierung im Benutzerportal und im Webadmin der Sophos Firewall. Dadurch ist Angreifern letztendlich eine Remotecodeausführung möglich.
Betroffen sind Sophos Firewall v18.5 MR3 (18.5.3) und ältere Versionen. Sophos hat am 23. März 2022 folgende Hotfixes zum Schließen der Schwachstellen freigegeben:
- Hotfixes für v17.0 MR10 EAL4+, v17.5 MR16 und MR17, v18.0 MR5(-1) und MR6, v18.5 MR1 und MR2, und v19.0 EAP veröffentlicht am 23. März 2022
- Hotfixes für die nicht unterstützten EOL-Versionen v17.5 MR12 bis MR15 und v18.0 MR3 und MR4, veröffentlicht am 23. März 2022
- Hotfixes für die nicht unterstützte EOL-Version v18.5 GA, veröffentlicht am 24. März 2022
- Hotfixes für v18.5 MR3, veröffentlicht am 24. März 2022
- Fix enthalten in v19.0 GA und v18.5 MR4 (18.5.4)
Benutzer älterer Versionen der Sophos Firewall müssen ein Upgrade durchführen, um die neuesten Schutzfunktionen und diesen Fix zu erhalten.
Anzeige
Für Sophos Firewalls, bei denen die Funktion "Automatische Installation von Hotfixes zulassen" aktiviert ist, sind keine Maßnahmen erforderlich.
Um Remote Code-Ausführung durch externe Angreifer zu verhindern, sollten Administratoren sicherstellen, dass ihr User Portal und Webadmin nicht per Wide Aerea Network (WAN) erreichbar ist. Sophos empfiehlt, den den WAN-Zugriff auf das User Portal und Webadmin zu deaktivieren (siehe diese Best Practice-Anweisungen). Bleeping Computer hat hier ebenfalls noch einige Informationen zum Thema veröffentlicht.
Anzeige
Also bezieht sich das "nur" auf die XG Serie? Denn bei der SG Serie müsste dann ja auch von Version 9.irgendwas die rede. MR18.x ist XG Serie…
So wie ich das bei Sophos lese ist ausschließlich das XG-OS betroffen. Allerdings könnte da noch etwas im Nachgang kommen, weil erfahrungsgemäß nur noch sehr wenige Programmierer an der UTM arbeiten und die Schwachstelle möglicherweise noch nicht geprüft wurde. Oder je nachdem welche Programmierer da dran sitzen wird sich auch gar nicht mehr erst die Mühe gemacht das zu prüfen.
Es kann aber auch sein, dass die Schwachstelle durch das andere Softwaredesign der XG entstanden ist, oder?
Jedenfalls liegt an unserer SG keine Update vor. Firmware: 9.709-3
Würde mich auch interessieren, ob die SG Serie betroffen ist. Hat jemand mehr Infos?
"Für Sophos Firewalls, bei denen die Funktion "Automatische Installation von Hotfixes zulassen" aktiviert ist, sind keine Maßnahmen erforderlich."
Leider ist Sophos bei sowas immer total lahm. Bei uns wurde der Hotfix noch nicht automatisch eingespielt.
Im Control Center unten Rechts bei "Messages" wird einem angeszeigt wann Hotfixes eingespielt wurden.
Auch das manuelle Suchen nach Updates schlagen mir nichtmal das 18.5 MR3 vor. Aktuell ist 18.5 MR2 installiert.
(Sophos rollt das Update in Wellen aus, macht bei einer kritischen Sicherheitslücke IMHO keinen Sinn)