In der Sophos Web Appliance (SWA) haben die Entwickler des Unternehmens drei Sicherheitslücken geschlossen. Eine davon gilt als kritisches Risiko und erlaubt Angreifern das Einschleusen und Ausführen von Schadcode. IT-Verantwortliche sollten prüfen, ob bereits die fehlerbereinigte Version installiert wurde und auf der Appliance läuft.

Die riskanteste Schwachstelle findet sich im "Warn-Proceed"-Handler und ermöglicht Angreifern, ohne vorherige Anmeldung beliebige Befehle unterzuschieben (CVE-2023-1671, noch kein CVSS, Risiko "kritisch"). Angemeldete Nutzer mit Administratorrolle können aufgrund einer Lücke im Exception-Wizard beliebigen Code ausführen (CVE-2022-4934, noch ohne CVSS, hoch). Das dritte Leck ermöglicht eine Reflected-Cross-Site-Scripting-Attacke, bei der Angreifer nach Klick eines Opfers auf einen präparierten Link schädlichen JavaScript-Code in deren Browser ausführen könnten (CVE-2020-36692, kein CVSS, mittel).

Sophos Web Appliance: Automatische Updates

Die Sicherheitslücken schließt das Update auf den Softwarestand 4.3.10.4. In den Standardeinstellungen laden die Sophos Web Appliances Aktualisierungen selbsttätig herunter und installieren sie. Administratoren sollten jedoch prüfen, ob sie bereits auf dem aktuellen Stand sind oder ob beispielsweise noch ein Neustart nötig ist.

Sophos weist zudem in der Sicherheitsmeldung darauf hin, dass die Sophos Web Appliance am 20. Juli 2023 ihr End-of-Life erreicht und anschließend keinen Support mehr erhält. Das Unternehmen empfiehlt weiter, die Sophos Web Appliance nicht direkt aus dem Internet zugreifbar zu machen, sondern mit einer Firewall abzuschotten. Ein Artikel in der Sophos-Knowledgebase erläutert, dass Nutzer der Web-Appliance auf die Sophos Firewall migrieren sollten.

Die Sicherheitslücken wurden Sophos im Rahmen des Bug-Bounty-Programms gemeldet, sie werden daher offenbar noch nicht in freier Wildbahn ausgenutzt. Um die Sophos Web Appliance war es lange Zeit ruhig. Zuletzt fielen Mitte 2017 Sicherheitslücken darin auf, die den Hersteller dazu veranlassten, Updates per verschlüsseltem HTTPS auszuliefern.

(dmk)