Das Cybersicherheitsunternehmen Sophos hat am Montag davor gewarnt, dass eine kürzlich gepatchte kritische Sicherheitslücke in seinem Firewall-Produkt aktiv in realen Angriffen ausgenutzt wird.
Die Schwachstelle mit der Bezeichnung CVE-2022-1040 wird im CVSS-Scoring-System mit 9,8 von 10 Punkten bewertet und betrifft die Sophos Firewall-Versionen 18.5 MR3 (18.5.3) und älter. Es handelt sich um eine Authentifizierungsumgehungsschwachstelle im Benutzerportal und der Webadmin-Oberfläche, die es einem Angreifer ermöglicht, beliebigen Code auszuführen, wenn er erfolgreich ist.
„Sophos hat beobachtet, dass diese Schwachstelle genutzt wird, um eine kleine Gruppe bestimmter Organisationen, vor allem in der Region Südasien, anzugreifen“, so das Unternehmen in einem am Montag veröffentlichten, überarbeiteten Advisory. „Wir haben jede dieser Organisationen direkt informiert.“
Die Schwachstelle wurde in einem Hotfix behoben, der automatisch für Kunden installiert wird, die die Einstellung „Automatische Installation von Hotfixes zulassen“ aktiviert haben. Als Workaround empfiehlt Sophos, den WAN-Zugriff auf das Benutzerportal und die Webadmin-Oberfläche zu deaktivieren.
Außerdem hat das britische Unternehmen für Sicherheitssoftware die Versionen 17.5 MR12 bis MR15, 18.0 MR3 und MR4 sowie 18.5 GA als nicht mehr unterstützt eingestuft, was auf die Schwere des Problems hinweist.
„Benutzer älterer Versionen der Sophos Firewall müssen ein Upgrade durchführen, um die neuesten Schutzfunktionen und diesen Fix zu erhalten“, so Sophos.