{"id":293228,"date":"2024-03-12T08:34:09","date_gmt":"2024-03-12T07:34:09","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=293228"},"modified":"2025-06-08T18:03:37","modified_gmt":"2025-06-08T16:03:37","slug":"angriffsversuche-auf-sophos-utm-firewalls-mrz-2024","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/03\/12\/angriffsversuche-auf-sophos-utm-firewalls-mrz-2024\/","title":{"rendered":"Angriffsversuche auf Sophos UTM Firewalls (M&auml;rz 2024)"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[English]Kurze Information f\u00fcr Administratoren von Sophos UTM Firewalls &#8211; ein Leser hat mich darauf hingewiesen, dass seit einigen Tagen vermehrt Angriffsversuche auf Sophos UTM Firewalls stattfinden. Sophos hat bereits zum 5. M\u00e4rz 2024 einen Sicherheitshinweis dazu mit einem Update der UTM-Firewall-Version ver\u00f6ffentlicht. Dort werden auch einige Schwachstellen genannt, die geschlossen werden. Es soll auch eine BSI-Warnung geben, die mir aber nicht vorliegt. Hier die Informationen, die mir vorliegen.<\/p>\n<p><!--more--><\/p>\n<h2>Ein Leserhinweis<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/c72c836b270343d1b47d3a045fbae07d\" alt=\"\" width=\"1\" height=\"1\" \/>Blog-Leser Bj\u00f6rn W. betreut diverse Firewalls bei seinem Kunden und ihm ist seit Ende letzter Woche aufgefallen, dass dort intensive Login-Versuche von unbekannten Dritten stattfinden. In einer Mail von gestern schrieb Bj\u00f6rn (danke daf\u00fcr).<\/p>\n<blockquote><p>Hallo Herr Born,<\/p>\n<p>seit zwei Tagen beobachte ich intensive Login-Versuche auf diverse Firewalls unserer Kunden.<\/p><\/blockquote>\n<p>Der Leser ist dann der Sache nachgegangen und schreibt, dass er etwas genauer nachgeschaut habe. Und siehe da, am 05.03.2024 hat Sophos das MR19 ver\u00f6ffentlicht. Der Leser meint, offensichtlich muss es dort Sicherheitsl\u00fccken geben, die Hacker aktuell motivieren Attacken auf bekannte UTMs zu fahren. Bisher hat eine Suche im Internet, laut Leser, ergeben, dass Heise &amp; Co. sich noch ausschweigen.<\/p>\n<p>Der Leser berichtet unter Bezug auf <em>news.de<\/em> dass das BSI am 05.03.2024 eine Sicherheitswarnung herausgegeben haben soll. Der Leser schrieb dazu, dass er diese jedoch auf den Seiten des BSI nicht finde und fragte: \"Haben Sie in dieser Sache schon etwas wahrgenommen?\"<\/p>\n<p>Bisher liegt mir keine weitere Meldung eines Nutzers vor. Bj\u00f6rn hat mir aber zwei Fundstellen im Web genannt, die das Thema ebenfalls aufgegriffen haben &#8211; ich stelle es mal zur Information hier im Blog ein.<\/p>\n<h2>Sophos Update-Hinweis MR19<\/h2>\n<p>Hersteller Sophos hat zum 5. M\u00e4rz 2024 die Sicherheitsmeldung <a href=\"https:\/\/community.sophos.com\/utm-firewall\/b\/blog\/posts\/utm-up2date-9-7-mr19-9-719-released\" target=\"_blank\" rel=\"noopener\">MR19 UTM Up2date 9.7 MR19 (9.719) released<\/a> ver\u00f6ffentlicht. Die haben f\u00fcr ihre UTM-Firewalls das Update auf die Version 9.7 MR19 (9.719) ver\u00f6ffentlicht. Es soll sich um ein regul\u00e4res Wartungsupdate handeln, welches in drei Phasen ver\u00f6ffentlicht wird.<\/p>\n<ul>\n<li>Phase 1: Der Download ist \u00fcber die Sophos Download-Server m\u00f6glich (<a href=\"https:\/\/download.astaro.com\/UTM\/v9\/up2date\/u2d-sys-9.718005-719003.tgz.gpg\" target=\"_blank\" rel=\"noopener\">Up2date-Paket &#8211; 9.718 auf 9.719<\/a>)<\/li>\n<li>Phase 2: Das Update wird in mehreren Schritten \u00fcber die Sophos Up2Date-Server zur Verf\u00fcgung gestellt.<\/li>\n<li>Phase 3: Das Update wird \u00fcber die Sophos Up2Date-Server f\u00fcr alle verbleibenden Installationen verf\u00fcgbar gemacht.<\/li>\n<\/ul>\n<p>Einzelheiten zu dieser Vorgehensweise und zur betreffenden Version finden sich in obigem verlinkten Sophos-Dokument. Sophos gibt an, dass die neue Version Fehlerkorrekturen und Sicherheitsverbesserungen enth\u00e4lt. Genannt werden folgende Schwachstellen:<\/p>\n<ul>\n<li>NUTM-13857 [Basesystem] Tinyproxy vulnerability (ha_proxy) &#8211; <a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2022-40468\" target=\"_blank\" rel=\"noopener\">CVE-2022-40468<\/a>: Potenzielles Leck von \u00fcbrig gebliebenen Heap-Daten, wenn benutzerdefinierte Fehlerseitenvorlagen mit speziellen Nicht-Standard-Variablen verwendet werden. Tinyproxy-Commit 84f203f und fr\u00fchere Versionen verwenden uninitialisierte Puffer in der Funktion process_request(). Der CVSS 3.1-Index wird mit 7.5 (high) angegeben.<\/li>\n<li>NUTM-12916 [Basesystem] Curl vulnerabilities &#8211; <a href=\"https:\/\/curl.se\/docs\/CVE-2021-22924.html\" target=\"_blank\" rel=\"noopener\">CVE-2021-22924<\/a>, <a href=\"https:\/\/curl.se\/docs\/CVE-2023-28321.html\" target=\"_blank\" rel=\"noopener\">CVE-2023-28321<\/a>, <a href=\"https:\/\/curl.se\/docs\/CVE-2023-28322.html\" target=\"_blank\" rel=\"noopener\">CVE-2023-28322<\/a> and others<\/li>\n<\/ul>\n<p>Bei den Curl-Schwachstellen handelt es sich um uralte Kamellen aus 2021 und 2023, die wohl mit dem Update mit gefixt wurden.<\/p>\n<h2>Zweite Meldung \u00fcber Schwachstellen<\/h2>\n<p>Auf news.de findet sich der Blog-Beitrag <a href=\"https:\/\/web.archive.org\/web\/20240407011605\/https:\/\/www.news.de\/technik\/857627938\/sophos-unified-threat-management-utm-software-gefaehrdet-it-sicherheitswarnung-vom-bsi-und-bug-report-betroffene-systeme-und-produkte-neue-versionen-und-updates\/1\/\" target=\"_blank\" rel=\"noopener\">Sophos Unified Threat Management (UTM) Software: Neue Sicherheitsl\u00fccke! Mehrere Schwachstellen gemeldet<\/a>, der angibt, dass f\u00fcr die Sophos Unified Threat Management (UTM)-Software eine aktuelle IT-Sicherheitswarnung vorliegt. Der Beitrag bezieht sich auf eine BSI-Meldung vom 5. M\u00e4rz 2024, ohne einen Link anzugeben. Ich gehe davon aus, dass das BSI die obigen Schwachstellen thematisiert.<\/p>\n<p>Im automatisch generierten Text hei\u00dft es u.a.: \"Ein anonymer Angreifer kann mehrere Schwachstellen in der Sophos Unified Threat Management (UTM)-Software ausnutzen, um vertrauliche Informationen offenzulegen, einen Denial of Service zu verursachen Dateien zu manipulieren oder weitere, unbekannte Auswirkungen zu verursachen.\" Es werden die obigen aufgelisteten Schwachstellen angesprochen, von denen alle Sophos UTM-Firewall-Version vor Version 9.719 betroffen sind. Administratoren sollten daher die UTM-Firewalls zeitnah aktualisieren.<\/p>\n<h2>Probleme mit der Version 9.719<\/h2>\n<p>Erg\u00e4nzung: Beachtet die Hinweise in den Kommentaren, die \u00fcber Probleme mit der Version 9.719 berichten und auf den Beitrag\u00a0<a href=\"https:\/\/community.sophos.com\/utm-firewall\/f\/general-discussion\/145567\/sophos-utm-after-update-to-9-719-ips-not-working-and-snort-not-running\" target=\"_blank\" rel=\"noopener\">Sophos UTM: After Update to 9.719 IPS not working and Snort not running<\/a> bei Sophos in der Community verweisen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Kurze Information f\u00fcr Administratoren von Sophos UTM Firewalls &#8211; ein Leser hat mich darauf hingewiesen, dass seit einigen Tagen vermehrt Angriffsversuche auf Sophos UTM Firewalls stattfinden. Sophos hat bereits zum 5. M\u00e4rz 2024 einen Sicherheitshinweis dazu mit einem Update der &hellip; <a href=\"https:\/\/borncity.com\/blog\/2024\/03\/12\/angriffsversuche-auf-sophos-utm-firewalls-mrz-2024\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[3081,4328],"class_list":["post-293228","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-geraete","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293228","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=293228"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/293228\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=293228"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=293228"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=293228"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}