ISGroup Cybersicherheitsberatung

Pre-Auth SQL-Injection-Schwachstelle in Sophos Cyberoam OS (CVE-2020-29574)

Eine kritische SQL-Injection-Schwachstelle vor der Authentifizierung wurde in Sophos Cyberoam OS (CROS) entdeckt und behoben. Sie ermöglicht es entfernten Angreifern, SQL-Befehle auszuführen, wenn die Verwaltungsoberfläche über das WAN erreichbar ist. Diese Schwachstelle wurde in den KEV-Katalog (Known Exploited Vulnerabilities) der CISA aufgenommen, was darauf hinweist, dass sie aktiv ausgenutzt wird. Sophos hat einen Hotfix für die betroffenen Geräte bereitgestellt. Organisationen, die Cyberoam-Firewalls einsetzen, müssen jedoch sicherstellen, dass ihre Systeme aktualisiert sind, oder auf Sophos XG Firewall migrieren, da Cyberoam-Geräte bereits seit 2019 abgekündigt sind.

ProduktCyberoam
Datum11.02.2025 09:35:55
Informationen
  • Fix verfügbar
  • Aktive Ausnutzung

Technische Zusammenfassung

Die Schwachstelle befindet sich in der webbasierten Verwaltungsoberfläche von Cyberoam OS (CROS) und kann aus der Ferne mittels SQL-Injection ausgenutzt werden. Wenn der HTTPS-Verwaltungsdienst mit dem Internet verbunden ist, kann ein Angreifer SQL-Abfragen manipulieren, um unbefugte Benutzerkonten zum System hinzuzufügen. Der Fehler ermöglicht es einem nicht authentifizierten Angreifer, die Kontrolle über die betroffene Firewall zu erlangen, was schwerwiegende Auswirkungen auf die Netzwerksicherheit haben kann.

Sophos hat automatische Korrektur-Patches per OTA (Over-the-Air) für die unterstützten CROS-Versionen bereitgestellt. Organisationen, die noch Cyberoam-Geräte verwenden, sollten jedoch manuell überprüfen, ob ihre Systeme auf dem neuesten Stand sind, indem sie den Befehl cyberoam diagnostics show version-info ausführen.

Empfehlungen

  • Patch sofort anwenden: Stellen Sie sicher, dass Cyberoam OS auf der neuesten Version ist, indem Sie das Vorhandensein des Korrektur-Patches über den Diagnosebefehl überprüfen.
  • WAN-Zugriff deaktivieren: Administratoren sollten den WAN-Zugriff auf die Web-Admin-Oberfläche und SSH deaktivieren, um unbefugte Zugriffe zu verhindern.
  • Auf unbefugte Benutzer prüfen: Sicherheitsteams sollten die Benutzerkonten auf den Cyberoam-Geräten überprüfen, um Anzeichen einer Kompromittierung zu identifizieren.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *