Naar de inhoud
Avanet
Meer dan 4.000 Sophos Firewalls zijn nog steeds getroffen door de beveiligingskwetsbaarheid

Meer dan 4.000 Sophos Firewalls zijn nog steeds getroffen door de beveiligingskwetsbaarheid

20. JANUARI 2023

Beveiligingsonderzoekers van VulnCheck hebben vastgesteld dat wereldwijd veel netwerkbeheerders hun Sophos Firewall nog niet hebben bijgewerkt. Ze hebben ongeveer 88.000 via internet bereikbare firewalls gevonden, waarvan duizenden kwetsbaar zijn vanwege een kritieke beveiligingsfout.

Het gebruikersportaal van ca. 78.000 firewalls is via internet bereikbaar en bij 10.000 firewalls is zelfs toegang tot de Web-Admin login mogelijk. Maar de SFOS Versie 18.0 MR3 waarschuwt hier actief voor in de backend.

Sophos Firewalls Webadmin
UserPortal
Sophos Firewalls Gebruikersportaal
WebAdmin

Sinds september 2022 zijn hotfix en beveiligingspatches beschikbaar sinds december. De onderzoekers adviseren beheerders om naast de versiestaat ook de logbestanden te controleren op mogelijke compromitteringen.

We hebben in het verleden al eerder melding gemaakt van beveiligingslekken in de Sophos Firewall (Sophos SFOS SQL Injection-lek gedicht) en van de maatregelen die wij aanbevelen om te voorkomen dat deze eenvoudig via internet bereikbaar is.

De kwetsbaarheid, bekend als CVE-2022-3236, stelt hackers in staat kwaadaardige code uit te voeren en wordt als extreem kritiek geclassificeerd. Toen Sophos de kwetsbaarheid in september vorig jaar bekendmaakte, waarschuwde het bedrijf dat deze al als zero-day was uitgebuit. Het bedrijf drong er bij zijn klanten op aan een hotfix en later een volledige patch te installeren om een infectie te voorkomen.

Sophos Firewalls met versies waarvoor een hotfix beschikbaar is
Sophos Firewalls met versies waarvoor een hotfix beschikbaar is
Sophos Firewalls met kwetsbare versies
Sophos Firewalls met kwetsbare versies

Meer dan 99 procent van de Sophos Firewalls die via internet bereikbaar zijn, zijn niet bijgewerkt naar versies die de officiële patch voor CVE-2022-3236 bevatten", schrijft VulnCheck-onderzoeker Jacob Baines. “Echter, ongeveer 93% van de systemen gebruikt versies waarvoor een hotfix beschikbaar is, en het standaardgedrag van de firewall is om hotfixes automatisch te downloaden en toe te passen (tenzij dit door een beheerder is uitgeschakeld). Het is waarschijnlijk dat bijna alle firewalls die in aanmerking komen voor een hotfix, een hotfix hebben ontvangen.”

Dit betekent dat er nog steeds meer dan 4.000 firewalls (of ongeveer 6% van de Sophos Firewalls die aan internet zijn blootgesteld) draaien op versies die geen hotfix hebben ontvangen en daardoor kwetsbaar zijn. Dit komt overeen met ongeveer 6 procent van alle Sophos Firewalls, zei beveiligingsbedrijf VulnCheck, daarbij verwijzend naar cijfers uit een Shodan-zoekopdracht.

Dus download Sophos Firewall Versie 19.5 en installeer deze, en controleer of de hotfix automatisch is geïnstalleerd.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.