[English]Vor einigen Stunden ist mir auf Twitter die Information unter die Augen gekommen, dass die RCE-Schwachstelle CVE-2022-3236 in Sophos XG Firewall massiv angegriffen wird. Ich hatte im September 2022 über die Schwachstelle berichtet und ein unverzügliches Patchen empfohlen. Hier einige Hinweise zu der aktuellen Warnung sowie einen Verweis auf den betreffenden Blog-Beitrag.
Anzeige
Angriffe auf CVE-2022-3236
Ich bin auf Twitter über diesen Tweet auf den Sachverhalt gestoßen. @ToolsWatch warnt dort eindrücklich, dass Angreifer derzeit massiv auf die RCE Schwachstelle CVE-2022-3236 in der Sophos Firewall abzielen und diese ausnutzen.
Allerdings kann ich aktuell nicht einschätzen, wie breit diese Scan- und Angriffswelle wirklich ist und ob es Deutschland betrifft.
Schwachstelle seit Sept. 2022 geschlossen
Sophos weist in seiner Antwort auf obigen Tweet darauf hin, dass die betreffende Schwachstelle längst geschlossen sei. Ich hatte am 26. September 2022 im Blog-Beitrag Sophos XG Firewall: RCE-Schwachstelle (CVE-2022-3236) über die Schwachstelle berichtet. Der Beitrag ging auf eine Warnung von Sophos zurück, die vor einer Remote Code Execution-Schwachstelle in der eigenen Firewall warnten. Es gab eine Code-Injection-Schwachstelle (CVE-2022-3236) im Benutzerportal und im Webadmin der Sophos Firewall.
Anzeige
Diese Schwachstelle wurde laut Sophos bereits in einer begrenzten Zahl von Fällen in Asien ausgenutzt. Von Sophos steht seit dieser Zeit ein Update zum Schließen der Schwachstelle bereit. Wer aber noch kein Update auf betroffenen Installationen ausgeführt hat, könnte nun infiziert sein. Daher sollte der Supportbeitrag von Sophos, den ich im Blog-Beitrag Sophos XG Firewall: RCE-Schwachstelle (CVE-2022-3236) verlinkt habe, konsultiert und die Firewall-Installation auf den Update-Status sowie eine eventuelle Infektion kontrolliert werden.
Anzeige
Moin Günter,
bitte sei so gut und pflege auch hier das Stichwort "XG" mit ein. Die UTM Modelle scheinen nicht davon betroffen zu sein.
Danke im voraus und weiterhin gute Besserung.
Das ist ein ganz wesentlicher Punkt! Bei Sophos Meldungen sollte immer geschaut werden ob es die XG oder UTM oder beide betrifft?
Auch wenn Sophos von der UTM selbst nichts mehr wissen will, ist diese noch in großen Stückzahlen in Verwendung und die UTM-Nutzer denken gar nicht daran den Rückschritt zur XG freiwillig zu gehen.
Auch bei der UTM gab es zuletzt aber Updates in rascher Folge unter anderem im SSL Bereich.
Rückschritt ist in der Tat das richtige Wort .. wir hatten bei uns ein XG Cluster im Einsatz, wo selbst Sophos mit Ihrem TAGTeam an Ops nix gebacken bekommen hat und Sophos hat dann letzendlich unsere XG in eine SG getauscht .. herrlich.
Witzig das von euch so zu lesen. In der Tat sind wir neulich auch von SG auf XG umgestiegen. Ich hab noch nie so viel geflucht, wie seit der Umstellung. Z.B. fehlen u.a. einfach grundlegende Funktionen, die es vorher gab. Z.b. hatten wir die Email Verschlüsselung in der SG aktiviert. Die gibt es aber in der XG so nicht mehr. Wir mussten jetzt die alten Zertifikate umständlich exportieren, um sie in eine weitere (kostenpflichtige) Software einzubinden. Ansonsten würden Mails, die mit dem alten Schlüssel verschlüsselt werden, nicht mehr entschlüsselt.
Und da gibt es noch tausend andere Dinge, die einfach komplett Gurke sind.
Aber das ist wohl einfach so, wenn man erst Astaro kauft und das alte Produkt SG nennt und später Cyberroam kauft und dessen Portfolio XG nennt, anstatt auf ein System zu setzen und dies weiterzuentwickeln.
@Frank: Danke für die Hinweis – ich habe die Bezeichnung XG im aktuellen Beitrag sowie im alten Artikel in allen Blogs angepasst. Da ich nichts mit Sophos am Hut habe, und der Hersteller da auch nicht differenziert, bin ich auf solche Informationen aus der Leserschaft angewiesen.
Korrigiert mich, wenn ich es nicht richtig sehe: Alle Sicherheits- und Update-Meldungen, die zukünftig von Sophos kommen, und in denen nichts spezielles angegeben ist, müssten sich in Zukunft auf die XG-Produktlinie beziehen?
Zum letzten Satz: Bin wieder Mensch und es geht erneut aufwärts :-). Hoffe nur, dass ich die Erkältung, die meine Frau schon die ganze Woche ins Bett zwingt, nicht auch noch kriege …
Das deutlichste Erkennungsmerkmal sind die Firmware-Nummern:
XG Firewalls:
v19.0 …
v18.5 …
v18.0 …
v17.5 …
v17.0 …
UTM Firewalls:
9.x (Aktuell am 07.10.2022 z.B.: 9.712-13)
So Dinge wie die Sophos E-Mail (Software-)Appliance wären natürlich auch noch vorhanden, die sind aber abgekündigt.
Dann auf jeden Fall auch eine gute Besserung an Deine Frau und welcome back an Dich :-)
Ja, die Produktpolitik von Sophos ist mittlerweile verwirrend. Die XG heißt jetzt "Sophos Firewall" (das ähnlich benannte Softwareprodukt aus der Endpoint-Schiene ist abgekündigt) und die von Astaro übernommene UTM ist die "Sophos UTM Firewall"
auch die Fortinet-Firewalls weisen aktuell eine gravierende Sicherheitslücke auf, siehe:
https://www.heise.de/news/Kritische-Sicherheitsluecke-in-Fortinet-Firewalls-erlaubt-Admin-Zugriff-7288810.html