Der Cybersecurity-Anbieter Sophos hat kritische Sicherheitsupdates für seine Firewall-Systeme veröffentlicht, die drei schwerwiegende Schwachstellen mit einem CVSS-Score von 9,8 beheben. Die identifizierten Sicherheitslücken ermöglichen potenziellen Angreifern unter bestimmten Bedingungen unauthorisierten Systemzugriff und die Ausführung von Schadcode ohne vorherige Authentifizierung.
Analyse der kritischen Schwachstellen
Die gravierendste Sicherheitslücke CVE-2024-12727 betrifft die E-Mail-Schutzkomponente der Firewall. Bei aktivierter Secure PDF eXchange (SPX)-Konfiguration in Kombination mit High Availability (HA) können Angreifer durch SQL-Injection-Techniken Zugriff auf die Report-Datenbank erlangen. Nach Angaben von Sophos sind etwa 0,05% der installierten Systeme mit dieser spezifischen Konfiguration betroffen.
SSH-Zugriff und Code-Ausführung als kritische Risikofaktoren
Die zweite kritische Schwachstelle CVE-2024-12728 ermöglicht durch vorhersagbare SSH-Zugangsdaten während der HA-Cluster-Initialisierung potenziell unauthorisierte Zugriffe. Der nicht-zufällige Passphrase bleibt auch nach abgeschlossenem Setup aktiv, wodurch etwa 0,5% der Systeme mit aktiviertem SSH-Zugang gefährdet sind.
Die dritte Schwachstelle CVE-2024-12729 erlaubt authentifizierten Benutzern durch Code-Injection über das User Portal die Ausführung beliebiger Befehle. Diese Sicherheitslücke kann zur Privilegien-Eskalation und weiterer lateraler Bewegung im Netzwerk missbraucht werden.
Sicherheitsmaßnahmen und Handlungsempfehlungen
Betroffen sind alle Sophos Firewall Versionen bis einschließlich 21.0 GA (21.0.0). Systemadministratoren wird dringend empfohlen, die verfügbaren Hotfixes umgehend zu installieren. Bei aktiviertem automatischen Update erfolgt die Installation automatisch. Zusätzlich sollten aktuelle Systemkonfigurationen auf potenziell risikobehaftete SPX- und HA-Einstellungen überprüft werden.
Angesichts der Schwere der Sicherheitslücken ist ein umfassender Security-Audit empfehlenswert. Organisationen sollten ihre Sicherheitsarchitektur evaluieren und zusätzliche Schutzmaßnahmen wie erweiterte Netzwerk-Monitoring-Systeme und regelmäßige Sicherheitsüberprüfungen implementieren. Die zeitnahe Umsetzung dieser Maßnahmen ist entscheidend, um potenzielle Angriffsvektoren zu minimieren und die Integrität der Netzwerkinfrastruktur zu gewährleisten.
