Naar de inhoud
Avanet
Meer dan 4.000 Sophos Firewalls zijn nog steeds getroffen door het beveiligingslek

Meer dan 4.000 Sophos Firewalls zijn nog steeds getroffen door het beveiligingslek

Beveiligingsonderzoekers van VulnCheck hebben vastgesteld dat wereldwijd veel netwerkbeheerders hun Sophos Firewall nog niet hebben bijgewerkt. Ze vonden ongeveer 88.000 via internet bereikbare firewalls, waarvan er duizenden kwetsbaar zijn voor een kritiek beveiligingslek.

Het gebruikersportaal van ca. 78.000 firewalls is via internet bereikbaar en bij 10.000 firewalls is zelfs toegang tot de Web-Admin-login mogelijk. Vanaf SFOS Versie 18.0 MR3 wordt hiervoor actief gewaarschuwd in de backend.

Sophos Firewalls Webadmin
WebAdmin
Sophos Firewalls Gebruikersportaal
UserPortal

Het beveiligingslek is sinds september 2022 bekend; hotfix en beveiligingspatches zijn sinds december beschikbaar. De onderzoekers adviseren beheerders om naast de versie ook de logbestanden te controleren op mogelijke compromitteringen.

We hebben in het verleden al over beveiligingslekken in de Sophos Firewall bericht (Sophos SFOS SQL Injection-lek gedicht) en over de maatregelen die wij aanbevelen om te voorkomen dat de firewall te eenvoudig via internet bereikbaar is.

De kwetsbaarheid, bekend als CVE-2022-3236, stelt aanvallers in staat schadelijke code uit te voeren en wordt als extreem kritiek ingeschat. Toen Sophos de kwetsbaarheid in september vorig jaar bekendmaakte, waarschuwde het bedrijf dat deze al als zero-day werd misbruikt. Sophos riep klanten op een hotfix en later een volledige patch te installeren om besmetting te voorkomen.

Sophos Firewalls met versies waarvoor een hotfix beschikbaar is
Sophos Firewalls met versies waarvoor een hotfix beschikbaar is
Sophos Firewalls met kwetsbare versies
Sophos Firewalls met kwetsbare versies

Meer dan 99 procent van de Sophos Firewalls die via internet bereikbaar zijn, is niet bijgewerkt naar versies die de officiële patch voor CVE-2022-3236 bevatten, schrijft VulnCheck-onderzoeker Jacob Baines. Ongeveer 93% van de systemen gebruikt echter versies waarvoor een hotfix beschikbaar is, en standaard downloadt en installeert de firewall hotfixes automatisch, tenzij een beheerder dit heeft uitgeschakeld. Het is waarschijnlijk dat bijna alle firewalls die voor een hotfix in aanmerking komen, deze ook hebben ontvangen.

Dit betekent dat er nog steeds meer dan 4.000 firewalls (of ongeveer 6% van de Sophos Firewalls die aan internet zijn blootgesteld) draaien op versies die geen hotfix hebben ontvangen en daardoor kwetsbaar zijn. Dit komt overeen met ongeveer 6 procent van alle Sophos Firewalls, aldus beveiligingsbedrijf VulnCheck, dat zich baseert op cijfers uit een Shodan-zoekopdracht.

Download dus Sophos Firewall versie 19.5, installeer deze en controleer of de hotfix automatisch is geïnstalleerd.

Patrizio

Patrizio

Patrizio is een ervaren netwerkspecialist met focus op Sophos-firewalls, switches en access points. Hij ondersteunt klanten en IT-teams bij configuratie, migratie en een schone netwerksegmentatie.