SFOS

Die Schwachstelle steckt in der Firmware SFOS, dem Betriebssystem der Sophos-XG-Firewall. Es handelt sich um eine SQL-Injection: Über manipulierte Eingaben kann ein Angreifer eigene Datenbankbefehle einschleusen. Verwundbar sind Geräte, bei denen entweder die Administrationsoberfläche (HTTPS) oder das Benutzerportal zur WAN-Zone, also zum Internet hin, freigegeben ist. Ein erfolgreicher Angriff kann zur Ausführung von Schadcode aus der Ferne führen und ermöglicht es, Benutzernamen sowie die zugehörigen Passwort-Hashes auszuleiten – betroffen sind die lokalen Geräte-Administratoren, die Portal-Administratoren und die für den Fernzugriff genutzten Benutzerkonten. Passwörter aus angebundenen externen Verzeichnisdiensten wie Active Directory oder LDAP sind dagegen nicht betroffen. Da der Angriff weder eine Anmeldung erfordert noch eine Benutzerinteraktion voraussetzt und sich gegen eine aus dem Internet erreichbare Komponente richtet, ist der Angriffsweg dort unmittelbar offen.