Betroffene Sophos Produkte & CVEs im Überblick
Sophos hat neue Sicherheitslücken in allen XGS Firewalls und virtuellen Firewalls mit SFOS sowie in der Endpoint Protection und Server Protection geschlossen. Die Schwachstellen reichen von kritischen Remote-Code-Execution-Lücken (RCE) bis zu lokalen Privilegieneskalationen.
Alle kritischen und hoch eingestuften CVEs wurden durch Hotfixes oder Updates behoben. Systeme mit aktivierter automatischer Hotfix-Installation sind bereits geschützt. Nutzer von Fixed Term Support (FTS) oder Long Term Support (LTS) müssen auf die neuesten Versionen aktualisieren.
Eine sofortige Überprüfung der installierten Versionen und Hotfixes ist unerlässlich, um das Risiko aktiver Angriffe zu vermeiden.
| Produkt | CVE-ID | Kurzbeschreibung |
|---|---|---|
| Sophos Firewall (SFOS) | CVE-2025-6704 | SPX-Dateischreibung mit RCE-Potenzial |
| Sophos Firewall (SFOS) | CVE-2025-7624 | SQL-Injection im transparenten SMTP-Proxy |
| Sophos Firewall (SFOS) | CVE-2025-7382 | Befehlsinjektion in WebAdmin |
| Sophos Firewall (SFOS) | CVE-2024-13974 | Business-Logic-Schwachstelle in Up2Date |
| Sophos Firewall (SFOS) | CVE-2024-13973 | SQL-Injection nach Authentifizierung in WebAdmin |
| Intercept X für Endpoint & Server | CVE-2024-13972 | Fehlerhafte Registry-Berechtigungen |
| Intercept X für Endpoint & Server | CVE-2025-7433 | Privilegieneskalation in Device Encryption |
| Intercept X für Endpoint & Server | CVE-2025-7472 | Privilegieneskalation im Installer |
Aktuelle CVEs für Sophos Firewall (SFOS)
Die Sophos Firewall ist derzeit von fünf unabhängigen Schwachstellen betroffen, die teilweise Remote-Codeausführung vor Authentifizierung ermöglichen. Alle als kritisch oder hoch eingestuften Sicherheitslücken wurden bereits durch Hotfixes behoben. Für Systeme, auf denen die Funktion „Allow automatic installation of hotfixes“ aktiviert ist (Standardeinstellung), ist kein manuelles Eingreifen erforderlich, um die Fixes zu erhalten. Weitere Details sind im offiziellen Security Advisory dokumentiert.
CVE-2025-6704 – SPX-Dateischreibung mit RCE-Potenzial
Eine Schwachstelle in der Funktion Secure PDF eXchange (SPX) kann, in Kombination mit High Availability (HA), eine Remote-Codeausführung vor Authentifizierung ermöglichen. Betroffen sind ca. 0,05 % der Geräte. Einstufung: kritisch.
CVE-2025-7624 – SQL-Injection im transparenten SMTP-Proxy
Diese Lücke erlaubt RCE, wenn eine E-Mail-Quarantänerichtlinie aktiv ist und die Firewall von einer älteren SFOS-Version (< 21.0 GA) aktualisiert wurde. Ca. 0,73 % der Systeme sind potenziell betroffen. Einstufung: kritisch.
CVE-2025-7382 – Befehlsinjektion in WebAdmin
Ein Angreifer im Netzwerk kann auf einem HA-Sekundärsystem vor Authentifizierung Code ausführen, wenn OTP für den Admin aktiviert ist. Betroffen sind etwa 1 % der Installationen. Einstufung: hoch.
CVE-2024-13974 – Business-Logic in Up2Date
Über manipulierte DNS-Antworten kann die DNS-Umgebung der Firewall kompromittiert werden, was zu RCE führen kann. Gemeldet durch das NCSC. Einstufung: hoch.
CVE-2024-13973 – SQL-Injection nach Authentifizierung
Ein authentifizierter Administrator kann über diese Lücke Code ausführen. Gemeldet durch das NCSC. Einstufung: mittel.
Sophos Firewall CVEs beheben durch Hotfix
Alle kritischen und hoch eingestuften Schwachstellen in Sophos Firewall (SFOS) wurden bereits durch Hotfixes behoben. Um sicherzustellen, dass die eigene Firewall nicht verwundbar ist, sollte überprüft werden, ob der aktuelle Hotfix HF071525.1 installiert wurde.
Die Überprüfung erfolgt entweder über die WebAdmin-Oberfläche oder per CLI-Befehl. Für die Kommandozeilenabfrage können Sie sich per SSH oder direkt über die Konsole mit der Firewall verbinden und folgenden Befehl ausführen:
system diagnostic show version-infoIn der Ausgabe muss der Eintrag HF071525.1 erscheinen. Fehlt dieser Eintrag, sollte der Hotfix umgehend installiert oder die automatische Hotfix-Installation in den Systemeinstellungen aktiviert werden.
Aktuelle CVEs für Sophos Intercept X
Sophos hat drei unabhängige Sicherheitslücken in Intercept X für Windows und dem zugehörigen Installer behoben. Alle als hoch eingestuften Schwachstellen sind durch Updates oder neue Installationspakete bereits geschlossen worden. Für Systeme mit der Standard-Update-Policy (automatische Installation empfohlener Pakete) ist kein manuelles Eingreifen notwendig. Kunden mit Fixed Term Support (FTS) oder Long Term Support (LTS) müssen jedoch ein Upgrade durchführen, um die Fixes zu erhalten.
CVE-2024-13972 – Registry-Berechtigungen
Eine Schwachstelle im Zusammenhang mit Registry-Berechtigungen im Intercept X Updater kann es einem lokalen Nutzer ermöglichen, während eines Produkt-Upgrades Systemrechte zu erlangen. Entdeckt und gemeldet von Filip Dragovic (MDSec). Einstufung: hoch.
Betroffene Versionen: Alle Intercept X für Windows-Versionen vor 2024.3.2 (inkl. FTS 2024.3.2.23.2 und LTS 2025.0.1.1.2) sowie Server-Varianten bis 2024.3.2.23.2.
CVE-2025-7433 – Privilegieneskalation in Device Encryption
Eine lokale Privilegieneskalation in der Device Encryption-Komponente ermöglicht die Ausführung beliebigen Codes mit Administratorrechten. Gemeldet von Sina Kheirkhah (watchTowr). Einstufung: hoch.
Betroffene Versionen: Alle Intercept X Central Device Encryption-Versionen vor 2025.1 sowie ältere FTS- und LTS-Releases.
CVE-2025-7472 – Privilegieneskalation im Installer
Eine Schwachstelle im Intercept X Installer für Windows kann lokalen Nutzern SYSTEM-Rechte verleihen, wenn der Installer als SYSTEM ausgeführt wird. Gemeldet von Sandro Poppi über das Sophos Bug Bounty Programm. Einstufung: hoch.
Besonderheit: Kunden, die alte Installer zur aktiven Bereitstellung von Endpoints oder Servern nutzen, müssen den aktuellen Installer (Version 1.22 oder neuer, veröffentlicht am 06.03.2025) über Sophos Central herunterladen und ersetzen.
Intercept X CVEs durch Updates beheben
Die drei Schwachstellen in Intercept X für Windows und Server Protection sind durch Updates bereits geschlossen. Um vollständigen Schutz zu gewährleisten, sollten folgende Versionen installiert sein:
- CVE-2024-13972: Behebung ab Intercept X für Windows 2024.3.2 bzw. Server-Versionen 2024.3.2.23.2. Langzeitsupport (LTS) ab 2025.0.1.1.2.
- CVE-2025-7433: Fix ab Device Encryption 2025.1 (veröffentlicht am 01.07.2025). LTS-Fix ab 2025.0.1.1.2.
- CVE-2025-7472: Geschlossen ab Installer Version 1.22 (06.03.2025). Ältere Installer müssen durch aktuelle Versionen aus Sophos Central ersetzt werden.
Die installierte Version lässt sich in Sophos Central im Bereich Geräteverwaltung → Endpoint/Server Details einsehen. Alternativ kann lokal am Windows-Client oder -Server die Versionsnummer im Sophos Endpoint Agent (Taskleisten-Symbol → Rechtsklick → „Über“) oder in den installierten Programmen (Systemsteuerung → Programme & Features) überprüft werden.
Fazit & weitere Handlungsempfehlungen
Die aktuellen Schwachstellen zeigen deutlich, wie wichtig kontinuierliche Updates und die konsequente Pflege von Sophos Firewalls und Intercept X sind. Systeme mit aktivierter automatischer Hotfix-Installation sind im Regelfall bereits geschützt. Dennoch sollten Unternehmen regelmäßig prüfen, ob aktuelle Versionen und Hotfixes installiert sind, um Sicherheitslücken zu vermeiden.
Gerade bei geschäftskritischen IT-Infrastrukturen empfiehlt sich ein professionelles Update- und Wartungskonzept, das nicht nur Sicherheitslücken schließt, sondern auch die Systemstabilität und Compliance gewährleistet. Unser Professional Service bietet entsprechende Service Level Agreements (SLAs), mit denen regelmäßige Updates und die laufende Pflege von Sophos Firewalls und Intercept X zuverlässig übernommen werden.
Organisationen, die keinen kontinuierlichen Update-Prozess implementiert haben, sollten diesen zeitnah etablieren oder externen Support in Anspruch nehmen. Nur so kann langfristig ein hohes Sicherheitsniveau aufrechterhalten werden.
