Sophos warnt vor Angriffen auf Sicherheitslücke in seiner Firewall

Sophos (Grafik: Sophos)

Die Schwachstelle erlaubt eine Remotecodeausführung. Angreifbar sind das User Portal und der Webadmin. Kunden mit aktivierter Updatefunktion erhalten den Patch für die Anfälligkeit automatisch.

Sophos hat eine Sicherheitswarnung zu den Firewall-Produkten des Unternehmens veröffentlicht. Eine Schwachstelle, die das Einschleusen und Ausführen von Schadcode aus der Ferne ermöglicht, wird demnach derzeit von Cyberkriminellen aktiv ausgenutzt. Ein Patch für die Anfälligkeit steht bereits zur Verfügung.

“Sophos hat beobachtet, dass diese Schwachstelle genutzt wird, um eine kleine Gruppe bestimmter Organisationen, hauptsächlich in der Region Südasien, anzugreifen”, heißt es in dem Security Advisory von Sophos. “Wir haben jede dieser Organisationen direkt informiert. Sophos wird im Zuge der weiteren Ermittlungen weitere Details bekannt geben.”

Die Lücke mit der Kennung CVE-2022-3236 steckt im User Portal und Webadmin der Sophos Firewall. Angreifbar ist die Version 19.0 MR1 (19.0.1) und früher. Das Update wird automatisch an alle Instanzen verteilt – zumindest ab Werk ist die automatische Updatefunktion der Sophos Firewall aktiviert.

Neben Patch auch Behelfslösung verfügbar

Kunden, bei denen die Funktion zur automatischen Installation von Hotfixes eingeschaltet, müssen laut Sophos nichts unternehmen, um sich vor den Angriffen zu schützen. Ältere Version der Sophos Firewall benötigten jedoch ein Upgrade auf eine unterstützte Version, um den Patch für CVE-2022-3236 zu erhalten.

Darüber hinaus bietet Sophos eine Behelfslösung für Unternehmen an, die die Schwachstelle nicht sofort schließen könne. Die Angriffe lassen sich abwehren, indem der Zugang über das Internet zu User Portal und Webadmin der Firewall gesperrt wird.

BleepingComputer weist darauf hin, dass Sophos ein ähnlich schwerwiegendes Loch in seiner Firewall bereits im März stopfen musste. Angreifer waren zu dem Zeitpunkt in der Lage, die Authentifzierung für User Portal und Webadmin zu umgehen. Auch dieser Bug wurde demnach überwiegend für zielgerichtete Attacken in Südasien benutzt.