Angreifer können Sophos-Firewalls ins Visier nehmen und Geräte nach dem Ausführen von Schadcode kompromittieren. Das Unternehmen gibt an, dass davon aber nur ein Bruchteil der Kunden bedroht ist.
Anzeige
Wie aus einer Warnmeldung hervorgeht, haben die Entwickler insgesamt drei Sicherheitslücken (CVE-2024-12727 "kritisch", CVE-2024-12728 "kritisch", CVE-2024-12729 "hoch") geschlossen. Für die erste Schwachstelle sind Sophos zufolge ausschließlich Geräte anfällig, wenn eine spezielle Konfiguration von Secure PDF Xchange (SPX) aktiv ist. Außerdem muss die Firewall im High-Availability (HA)-Modus laufen. Das sei nur bei etwa 0,05 Prozent der Geräte der Fall. Sind die Voraussetzungen erfüllt, können Angreifer aus der Ferne Schadcode ausführen.
Die zweite Lücke ist nur bedrohlich, wenn SSH und HA aktiv sind. Das sei bei rund 0,5 Prozent der Geräte der Fall. Dann könnten Angreifer unter Umständen auf einen Nutzeraccount mit hohen Rechten zugreifen. Über die dritte Lücke kann Schadcode auf Geräte gelangen. Dafür muss ein Angreifer aber authentifiziert sein.
Gefährdet sind Firewalls bis inklusive v21.0 GA. Sophos gibt an, erste Hotfixes Ende November 2024 veröffentlicht zu haben. Standardmäßig sind die Firewalls so eingestellt, dass diese sich automatisch installieren. In einem Beitrag führen die Entwickler aus, wie Admins prüfen können, ob die Hotfixes bereits installiert sind.
(
Kommentare