Der Cybersecurity-Anbieter Sophos hat kritische Sicherheitsupdates für seine Firewall-Systeme veröffentlicht, die drei schwerwiegende Schwachstellen mit einem CVSS-Score von bis zu 9,8 beheben. Die identifizierten Sicherheitslücken ermöglichen Angreifern unter bestimmten Bedingungen unauthorisierten Systemzugriff und die Ausführung von Schadcode ohne vorherige Authentifizierung. Technische Details sind im offiziellen Sophos Security Advisory dokumentiert.
Analyse der kritischen Schwachstellen
Die gravierendste Sicherheitslücke CVE-2024-12727 betrifft die E-Mail-Schutzkomponente der Firewall. Bei aktivierter Secure PDF eXchange (SPX)-Konfiguration in Kombination mit High Availability (HA) können Angreifer durch SQL-Injection-Techniken Zugriff auf die Report-Datenbank erlangen. Nach Angaben von Sophos sind etwa 0,05% der installierten Systeme mit dieser spezifischen Konfiguration betroffen. Der NVD-Eintrag für CVE-2024-12727 enthält technische Details zur SQL-Injection-Methodik.
SSH-Zugriff und Code-Ausführung als kritische Risikofaktoren
Die zweite kritische Schwachstelle CVE-2024-12728 ermöglicht durch vorhersagbare SSH-Zugangsdaten während der HA-Cluster-Initialisierung unauthorisierte Zugriffe. Die nicht-zufällige Passphrase bleibt auch nach abgeschlossenem Setup aktiv, wodurch etwa 0,5% der Systeme mit aktiviertem SSH-Zugang gefährdet sind.
Die dritte Schwachstelle CVE-2024-12729 erlaubt authentifizierten Benutzern durch Code-Injection über das User Portal die Ausführung beliebiger Befehle. Diese Sicherheitslücke kann zur Privilegien-Eskalation und lateraler Bewegung im Netzwerk missbraucht werden.
Betroffen: Alle Sophos Firewall-Versionen vor dem aktuellen Patch
Die Schwachstellen betreffen alle Sophos Firewall Versionen bis einschließlich 21.0 GA (21.0.0). Besonders gefährdet sind Organisationen mit folgenden Konfigurationen:
- Sophos Firewalls mit aktivierter Secure PDF eXchange (SPX)-Funktion und gleichzeitig konfiguriertem High Availability Cluster (CVE-2024-12727);
- Firewalls, bei denen SSH-Zugang für administrative Zwecke aktiviert ist und die HA-Funktion genutzt wird (CVE-2024-12728);
- Umgebungen, in denen Benutzer Zugang zum Sophos Firewall User Portal haben, insbesondere in Multi-User-Szenarien (CVE-2024-12729);
- Internet-exponierte Firewall-Management-Interfaces ohne zusätzliche Zugriffsbeschränkungen.
Sicherheitsmaßnahmen und Handlungsempfehlungen
Systemadministratoren sollten folgende Schritte umgehend durchführen:
- Hotfixes über das automatische Update-System installieren — bei aktiviertem Auto-Update erfolgt dies ohne manuellen Eingriff;
- SPX-Konfiguration und HA-Einstellungen auf potenziell risikobehaftete Kombinationen prüfen;
- SSH-Zugangsdaten nach der HA-Einrichtung manuell zurücksetzen, um das CVE-2024-12728-Risiko zu eliminieren;
- Zugriff auf das User Portal auf vertrauenswürdige IP-Adressbereiche beschränken;
- Netzwerkverkehr auf ungewöhnliche Aktivitäten von Firewall-Management-Interfaces überwachen.
