Sophos Banner Vulnerability CVE-2022-3236

Mehr als 4.000 Sophos Firewalls sind nach wie vor von der Sicherheitslücke betroffen

Sicherheitsforscher von VulnCheck haben festgestellt, dass weltweit viele Netzwerk-Admins ihre Sophos Firewall noch nicht auf den aktuellen Stand gebracht haben. Sie haben rund 88’000 über das Internet erreichbare Firewalls gefunden, von denen Tausende über eine kritische Sicherheitslücke anfällig sind.

Das User-Portal von ca. 78’000 Firewalls ist über das Internet erreichbar und bei 10’000 Firewalls ist sogar der Zugriff auf das Web-Admin Login möglich. Aber der SFOS Version 18.0 MR3 wird aktiv im Backend davor gewarnt.

Seit September 2022 ist Hotfix und Sicherheitspatches sind seit Dezember verfügbar. Die Forscher raten Administratoren, neben dem Versionsstand auch die Logdateien auf mögliche Kompromittierungen zu überprüfen.

Wir haben bereits in der Vergangenheit über Sicherheitslücken in der Sophos Firewall berichtet (Sophos SFOS SQL Injection Lücke Geschlossen) und über die Massnahmen, welche wir empfehlen, dass diese übers Internet nicht so einfach erreichbar ist.

Die Schwachstelle, bekannt als CVE-2022-3236, ermöglicht es Hackern, Schadcode auszuführen und wird als extrem kritisch eingestuft. Als Sophos die Schwachstelle im September letzten Jahres bekannt gab, warnte das Unternehmen, dass sie bereits als Zero-Day ausgenutzt wurde. Das Unternehmen forderte seine Kunden auf, einen Hotfix und später einen vollständigen Patch zu installieren, um eine Infektion zu vermeiden.

Über 99 Prozent der Sophos Firewalls, die über das Internet aufrufbar sind, wurden nicht auf Versionen aktualisiert, die den offiziellen Patch für CVE-2022-3236 enthalten“, schreibt VulnCheck-Forscher Jacob Baines. Allerdings verwenden etwa 93 % der Systeme Versionen, für die ein Hotfix verfügbar ist, und das Standardverhalten der Firewall besteht darin, Hotfixes automatisch herunterzuladen und anzuwenden (sofern dies nicht von einem Administrator deaktiviert wurde). Es ist wahrscheinlich, dass fast alle Firewalls, die für einen Hotfix infrage kommen, einen Hotfix erhalten haben.

Das bedeutet, dass immer noch mehr als 4.000 Firewalls (oder ca. 6% der Sophos Firewalls, die dem Internet ausgesetzt sind) auf Versionen laufen, die keinen Hotfix erhalten haben und daher angreifbar sind. Das entspricht etwa 6 Prozent aller Sophos Firewalls, sagte die Sicherheitsfirma VulnCheck und berief sich auf Zahlen aus einer Suche auf Shodan.

Also ladet euch die Sophos Firewall Version 19.5 herunter und installiert diese und prüft, dass der Hotfix automatisch installiert wurde.

Warenkorb