Web Appliance

Die Schwachstelle steckt in der Sophos Web Appliance, einem Gerät zur Filterung und Absicherung des Web-Verkehrs. Sie sitzt im sogenannten warn-proceed-Handler – jener Komponente, die greift, wenn ein Nutzer eine als problematisch eingestufte Seite trotz Warnung dennoch aufrufen möchte. An dieser Stelle lässt sich eine Befehlsinjektion durchführen: Über speziell präparierte Eingaben kann ein Angreifer eigene Systembefehle einschleusen, die das Gerät anschließend ausführt. Besonders schwerwiegend ist, dass der Angriff ohne vorherige Anmeldung möglich ist – es werden also keinerlei Zugangsdaten benötigt. Dadurch kann ein Angreifer aus der Ferne beliebigen Code auf dem Gerät ausführen und es unter seine Kontrolle bringen. Da die Appliance als zentraler Knotenpunkt den gesamten Web-Verkehr eines Netzwerks verarbeitet, ist eine Übernahme besonders folgenreich und betrifft potenziell sämtliche darüber laufende Kommunikation.