Sophos und SonicWall schließen kritische RCE-Lücken

Die Sophos Firewall weist zwei besonders gefährliche Sicherheitslücken mit einem CVSS-Score von jeweils 9.8 von 10 Punkten auf:

• CVE-2025-6704: Eine Schwachstelle im Secure PDF Exchange (SPX)-Feature erlaubt unter bestimmten Konfigurationen die Ausführung beliebigen Codes vor Authentifizierung – vorausgesetzt, das SPX-Feature ist aktiv und die Firewall läuft im High-Availability-Modus.
• CVE-2025-7624: Eine SQL-Injection im SMTP-Proxy kann zur Codeausführung führen, wenn eine Quarantäne-Richtlinie für E-Mails aktiv ist und die Firewall aus einer Version vor 21.0 GA aktualisiert wurde.

Obwohl diese Konfigurationen eher selten sind, sind immerhin bis zu 0,73 Prozent der weltweit eingesetzten Sophos-Firewalls betroffen. Beide Schwachstellen wurden inzwischen behoben.

Weitere Schwachstellen und neue Patches

Sophos hat im Zuge der Sicherheitsupdates zusätzlich weitere Lücken geschlossen:

• CVE-2025-7382 (CVSS 8.8): Eine Befehlsinjektion im WebAdmin-Bereich, ausnutzbar vor Authentifizierung auf HA-Zweitgeräten (Backup-Systeme in einer High-Availability-Konfiguration), wenn die Zwei-Faktor-Authentifizierung (OTP) aktiv ist.
• CVE-2024-13974 (CVSS 8.1): Eine logische Schwäche im Up2Date-Modul, durch die Angreifer über manipulierte DNS-Einträge RCE erzielen können.
• CVE-2024-13973 (CVSS 6.8): Eine post-auth SQL-Injection in WebAdmin, die Administratoren das Einschleusen von Code erlaubt.

Die beiden letztgenannten Schwachstellen wurden vom britischen NCSC entdeckt. Betroffen sind verschiedene Versionen bis einschließlich Sophos Firewall 21.5 GA (21.5.0) und älter.

SonicWall: Lücke in SMA 100 Webinterface

Auch SonicWall hat eine kritische Schwachstelle (CVE-2025-40599, CVSS 9.1) in der Weboberfläche der SMA 100 Series (SMA 210, 410, 500v) geschlossen. Angreifer mit Administratorrechten könnten damit beliebige Dateien hochladen und anschließend Code aus der Ferne ausführen.

Obwohl bislang keine aktive Ausnutzung gemeldet wurde, weist SonicWall auf ein erhöhtes Risiko hin – insbesondere, da die Google Threat Intelligence Group (GTIG) Hinweise auf die Nutzung kompromittierter, voll gepatchter SMA-Geräte durch die Gruppe UNC6148 gefunden hat. Dabei kam ein Backdoor namens OVERSTEP zum Einsatz.

Handlungsempfehlungen für SonicWall-Kunden

Zur Absicherung von SMA 100-Geräten rät SonicWall dringend zu folgenden Maßnahmen:

• Remote-Management auf der externen Schnittstelle (X1) deaktivieren
• Alle Passwörter zurücksetzen und OTP-Zugänge neu binden
• Multi-Faktor-Authentifizierung (MFA) für alle Benutzer aktivieren
• Web Application Firewall (WAF) aktivieren
• Logs und Verbindungsverlauf auf Anomalien überprüfen

Für Nutzer des virtuellen Modells SMA 500v gilt eine besondere Maßnahme: Hier soll das virtuelle Gerät vollständig neu installiert werden, inklusive Entfernen aller Snapshots und virtuellen Festplatten – eine Neuinstallation des aktuellen OVA-Images von SonicWall ist erforderlich.

Fazit: Kritische Infrastruktur gezielt absichern

Die aktuellen Schwachstellen zeigen erneut, wie wichtig zeitnahe Patches und sichere Konfigurationen sind – gerade bei Netzwerkkomponenten und Zugangslösungen, die zentrale Infrastrukturen schützen. IT-Verantwortliche sollten die bereitgestellten Updates umgehend einspielen, Konfigurationen überprüfen und kritische Systeme dauerhaft überwachen.

In Kombination mit gezielter Härtung – wie der Deaktivierung nicht benötigter Funktionen oder dem Einsatz von MFA – lassen sich Risiken spürbar reduzieren. Die Angreifer sind aktiv – aber mit schneller Reaktion lässt sich die Schadensgefahr minimieren.