ISGroup Cybersicherheitsberatung

Aktiv ausgenutzte Pufferüberlauf-Schwachstelle in der Sophos XG Firewall (CVE-2020-15069)

CVE-2020-15069 ist eine kritische Schwachstelle, die Sophos XG Firewall v17.x betrifft und aktiv in realen Umgebungen ausgenutzt wurde. Die Sicherheitslücke liegt in der über das WAN zugänglichen Benutzerportal-Funktionalität, wodurch Geräte, die aus dem Internet erreichbar sind, besonders gefährdet sind. Angesichts der weiten Verbreitung von Sophos-Firewalls in Unternehmens- und Behördennetzwerken ist es entscheidend, sofortige Minderungsmaßnahmen zu ergreifen, um unbefugte Zugriffe und potenzielle Kompromittierungen zu verhindern.

ProduktSophos
Datum11.02.2025 16:38:52
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Diese Schwachstelle ist auf einen bisher unbekannten Pufferüberlauf (Buffer Overflow) in der HTTP/S-Lesezeichenfunktion des Benutzerportals der Firewall zurückzuführen. Angreifer können diese Sicherheitslücke aus der Ferne ausnutzen, um beliebigen Code auf den betroffenen Systemen auszuführen, was potenziell zur vollständigen Kompromittierung des Geräts führen kann. Sophos hat einen Hotfix veröffentlicht, der die anfällige Funktion auf allen XG-Firewalls mit SFOS v17.x entfernt; SFOS v18 ist davon nicht betroffen. Organisationen, die den Patch noch nicht angewendet haben, bleiben dem Risiko einer Ausnutzung ausgesetzt.

Empfehlungen

  • Sofortiges Update: Wenden Sie den Hotfix (HF062020.1) für SFOS v17.x an oder führen Sie ein Upgrade auf SFOS v18 durch.
  • Deaktivierung des Benutzerportals über WAN: Schränken Sie den externen Zugriff auf das Benutzerportal der Firewall ein, sofern dies nicht zwingend erforderlich ist.
  • Zurücksetzen der Administrator- und Benutzeranmeldedaten: Ändern Sie die Passwörter für alle Administratorkonten und lokalen Benutzerkonten.
  • Automatische Updates aktivieren: Stellen Sie sicher, dass Hotfixes automatisch installiert werden, um mögliche Ausnutzungen zu verhindern.
  • Überwachung auf Kompromittierungsindikatoren: Überprüfen Sie die Firewall-Protokolle auf Anzeichen für unbefugte Zugriffsversuche und ungewöhnliche Aktivitäten.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *