SECURITY ADVISORY

Pre-Auth-SQL-Injection in Sophos XG Firewall (Asnarök)

Eine nicht authentifizierte SQL-Injection in der Sophos XG Firewall erlaubt einem Angreifer aus dem Netz, lokal gespeicherte Zugangsdaten – Nutzernamen sowie gesalzene SHA256-Hashes der Admin- und Portal-Konten – auszulesen und Schadcode auszuführen. Die Lücke wurde bereits vor ihrer Veröffentlichung als Zero-Day für die Asnarök-Kampagne ausgenutzt: Die eingeschleuste Malware sammelte Zugangs- und VPN-Daten, verschlüsselte sie und versuchte, sie an einen externen Server zu übertragen. Verwundbar ist jedes Gerät, dessen Admin-Oberfläche (HTTPS) oder User-Portal auf der WAN-Zone erreichbar war.

CVE-ID

cve-id

CVSS

cvss-2

Schweregrad

schweregrad

Hersteller

hersteller

Produkt

produkt

Veröffentlicht

veroffentlicht-am

CISA-KEV

cisa-kev

Advisory als PDF herunterladen
Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Cyber-Notfall? Soforthilfe
Vulnerability Management

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.

Sofortmaßnahmen

Was jetzt zu tun ist

Diese Schwachstelle wird aktiv ausgenutzt und steht im CISA-KEV-Katalog. Handeln Sie priorisiert:

1
Betroffenheit prüfen

Gleichen Sie Ihre Systeme mit dem Hersteller-Advisory ab – betroffenes Produkt und Version identifizieren.

2
Patch oder Workaround anwenden

Spielen Sie die vom Hersteller bereitgestellte Fix-Version ein oder aktivieren Sie den empfohlenen Workaround – ohne Verzögerung.

3
Auf Ausnutzung prüfen

Kontrollieren Sie Logs und Systeme auf Kompromittierungs-Indikatoren (ungewöhnliche Zugriffe, neue Konten, verdächtige Sitzungen).

4
Im Verdachtsfall eindämmen

Betroffene Systeme isolieren (nicht ausschalten), Beweise sichern und sofort Incident Response einbinden.

Konkret betroffene Versionen, Fix-Version, CVSS-Vektor und IoCs finden Sie im Advisory-PDF oben.

Unterstützung

So unterstützt Sie Argos Security

Ausnutzung erkennen

Das Cyber Defense Center (24/7-MDR) erkennt Ausnutzungsversuche früh und reagiert – auch außerhalb Ihrer Patch-Fenster.

Im Ernstfall reagieren

Der IR-Retainer sichert vertraglich garantierte Reaktionszeiten. Ein Anruf genügt – unser Team übernimmt.

Dauerhaft absichern

Vulnerability Management priorisiert und schließt Lücken laufend – risikobasiert, nicht nur einmal im Jahr.

Quellen & Meldepflicht

Prüfen Sie die Details bei den Primärquellen: NVD (National Vulnerability Database), dem CISA-KEV-Katalog und dem Hersteller-PSIRT. Aktiv ausgenutzte, KRITIS-relevante Schwachstellen können Meldepflichten nach NIS-2/BSIG auslösen – im Zweifel Incident Response einbinden.