Schwachstellen in Sophos UTM Firewall entdeckt

Im März 2024 wurden mehrere kritische Sicherheitslücken in verschiedenen Versionen der Sophos UTM Firewall gepatcht, die Nutzer und Unternehmen dringend zur Vorsicht und zum schnellen Handeln aufrufen. Die identifizierten Schwachstellen betreffen sowohl das Benutzerportal als auch die Webadmin-Oberfläche und könnten Angreifern ermöglichen, Schadcode auszuführen oder privilegierte Zugriffe zu erlangen. Eine der Lücken ist eine Authentifizierungsumgehung im Benutzerportal und Webadmin, die es einem entfernten Angreifer ermöglicht, in Versionen von Sophos Firewall v18.5 MR3 und älter Code auszuführen. Die gefundenen Sicherheitslücken scheinen bereits ausgenutzt zu werden und sollten daher umgehend von Betreibern gepatcht werden.

Darüber hinaus enthalten die Confd-Protokolldateien in Versionen von Sophos UTM vor 9.710 Passwort-Hashes lokaler Benutzer, einschließlich des Root-Benutzers, im SHA512crypt-Format mit unsicheren Zugriffsberechtigungen. Diese Schwachstelle ermöglicht es lokalen Angreifern, Offline-Brute-Force-Angriffe gegen diese Passwort-Hashes durchzuführen.

Die dritte gefundene Lücke ist eine post-authentifizierende SQL-Injektionsanfälligkeit im Mail Manager, die es einem authentifizierten Angreifer potenziell ermöglicht, in Versionen von Sophos UTM vor 9.710 Code auszuführen. Zudem wurden mehrere SQL-Injektionsanfälligkeiten in Webadmin entdeckt, die eine Eskalation von Admin-Rechten zu Super-Admin-Rechten in Versionen älter als Sophos Firewall 18.5 MR4 und 19.0 MR1 ermöglichen.

Als Reaktion auf diese ernstzunehmenden Sicherheitslücken hat Sophos die Version 9.711 von SG UTM veröffentlicht, um die wichtigsten Sicherheitsprobleme zu beheben, und empfiehlt allen Nutzern dringend, dieses Update so schnell wie möglich anzuwenden. Ebenso wurden mit der Veröffentllichung der Sophos Firewall v19.0 GA wichtige Sicherheitslücken, einschließlich CVE-2022-1040, CVE-2021-25268, CVE-2021-25267, CVE-2023-28322, CVE-2023-28321 und CVE-2022-0331, behoben.

Related Posts

Gehackte Wordpress verwenden Client Browser für DDOS Angriffe

WordPress-Websites werden zunehmend Ziel von Hackerangriffen, bei denen die Browser von Besuchern für schädliche Operationen missbraucht werden. Eine kürzliche Untersuchung von Sucuri offenbart, dass Cyberkriminelle WordPress-Seiten kompromittieren, um in HTML-Vorlagen bösartigen Code einzuschleusen. Sobald ein Besucher die betroffene Website aufruft, wird dieser Code aus einer spezifischen URL in seinen Browser geladen und initiiert dort unerwünschte Aktivitäten. WordPress-Websites von Hackern dazu missbraucht, ein bösartiges Skript einzuschleusen, das die Browser der Besucher für DDoS-Angriffe (Distributed Denial of Service) gegen bestimmte Websites verwendet. Sobald geladen, zwingt das JavaScript den Browser des Besuchers dazu, HTTP GET-Anfragen an die aufgeführten Websites zu senden, ohne dass die Website-Betreiber oder die Besucher davon wissen.

Read More

Spinning YARN - Cyberangriffskampagne gegen Cloud Server

Die “Spinning YARN”-Cyberangriffe bedrohen derzeit diverse Cloud Server. Diese gezielten Angriffe nutzen Schwachstellen in schlecht konfigurierten webbasierten Diensten aus, darunter bekannte Technologien wie Apache Hadoop YARN (Yet Another Resource Negotiator), Docker, Atlassian Confluence und Redis.

Read More

Cross Site Scripting Gefahr durch User-generierte Youtube Links

In diesem Artikel wollen wir darstellen wie einfach es ist, Cross Site Scripting (XSS) per modifizierten Youtube Links durchzuführen. Die Vorraussetzungen dafür sind eine Webplattform, die es Ihren Usern erlaubt Links auf Youtube Videos anzugeben, die dann z.B. im User Profil angezeigt werden.

Read More