Warum kritische Sophos Firewall-Lücken (meist) nicht wirklich kritisch sind

Kritische Schwachstellen in Firewalls sorgen regelmäßig für Aufmerksamkeit – und technisch betrachtet ist das oft auch gerechtfertigt. In der praktischen Umsetzung stellt sich das Risiko jedoch sehr unterschiedlich dar. Bei Sophos-Firewalls greifen gleich mehrere Schutzmechanismen, die dazu führen, dass selbst sicherheitskritische Lücken in aller Regel ohne unmittelbare Gefährdung für professionell betriebene Systeme bleiben.

Dazu zählen insbesondere:

• die automatisierte Verteilung und Aktivierung von sicherheitsrelevanten Hotfixes,
• die standardmäßig aktivierten Schutzmechanismen in der Sophos Firmware (SFOS),
• und die vollständige Vorkonfiguration durch erfahrene Dienstleister im Rahmen eines Managed Firewall Betriebs.

Gerade in der Kombination mit einem strukturierten Sicherheitsbetrieb – wie er bei Comp4U realisiert wird – bedeutet das: Technisch kritische Schwachstellen führen nicht zwangsläufig zu einem realen Risiko. Voraussetzung ist, dass die Grundkonfiguration fachgerecht erfolgt ist – ein Anspruch, der bei allen durch Comp4U ausgelieferten Firewalls verbindlich umgesetzt wird.

Aktueller Fall: Schwachstellenmeldung vom 21. Juli 2025

Am 21. Juli 2025 hat Sophos mehrere Schwachstellen im Sophos Firewall Operating System (SFOS) veröffentlicht, darunter zwei mit CVSS-Werten im kritischen Bereich:

• CVE-2025-6704: Remote Code Execution im SPX-Modul bei aktivem HA-Betrieb
• CVE-2025-7624: Rechteausweitung bei Nutzung einer spezifischen Quarantäne-Policy

Die Details sind im offiziellen Advisory dokumentiert:
🔗 Sophos Security Advisory – SFOS RCE (21.07.2025)
Auch heise online hat über die Veröffentlichung berichtet.

Hotfix-Verteilung bei Sophos: Automatisiert und priorisiert

Sicherheitsrelevante Fehlerbehebungen stellt Sophos als sogenannte Hotfixes bereit. Diese werden ohne manuelles Zutun automatisch auf der Firewall installiert – sofern die Standardkonfiguration nicht verändert wurde. Ein Neustart der Appliance ist dabei in den meisten Fällen nicht erforderlich. Die Bereitstellung erfolgt direkt über die bestehende Update-Infrastruktur von Sophos.

Im vorliegenden Fall wurden die Hotfixes noch am selben Tag für alle betroffenen SFOS-Versionen ausgeliefert – einschließlich älterer Releases wie 19.0.x, die eigentlich bereits aus dem regulären Support-Zyklus ausgeschieden sind.

Comp4U-Absicherung durch zentrale Verwaltung

Bei allen Sophos-Firewalls, die im Rahmen eines Comp4U Managed Firewall Vertrags betrieben werden, ist die automatische Aktivierung von Hotfixes fester Bestandteil der Grundkonfiguration. Diese Einstellung wird bei Auslieferung bewusst geprüft und ist auch im laufenden Betrieb über Monitoring und Kontrollprozesse abgesichert.

Darüber hinaus erfolgt bei sicherheitsrelevanten Ereignissen eine gezielte manuelle Prüfung, um auch potenzielle Konfigurationsabweichungen zu erkennen und rechtzeitig zu reagieren. Auf Wunsch werden Kunden im Rahmen des ServicePLUS-Modells aktiv über erfolgte Maßnahmen informiert.

Risikobewertung in der Praxis

Obwohl zwei der gemeldeten Schwachstellen formal als kritisch eingestuft wurden, relativiert sich das praktische Risiko deutlich:

• CVE-2025-6704 betrifft nur Systeme mit aktiviertem SPX-Verschlüsselungsmodul und gleichzeitigem HA-Betrieb – laut Sophos weniger als 0,05 % der aktiven Installationen.
• CVE-2025-7624 ist nur ausnutzbar, wenn zuvor ein Upgrade von SFOS < 21.0 mit einer veralteten Quarantäne-Policy durchgeführt wurde – betroffen sind laut Hersteller maximal 0,7 % der Systeme.

Derartige Kombinationen treten in betreuten Umgebungen äußerst selten auf, da entsprechende Legacy-Elemente entweder bewusst abgeschaltet oder ersetzt wurden.

Sophos als Teil der Secure-by-Design-Initiative

Sophos ist seit Mai 2024 offizieller Unterzeichner der Secure-by-Design-Initiative der US-amerikanischen CISA (Cybersecurity and Infrastructure Security Agency). Das Unternehmen verpflichtet sich damit zu einer Reihe von Maßnahmen, darunter:

• automatische Absicherung von Standardkonfigurationen,
• Reduktion von Komplexität in sicherheitskritischen Bereichen,
• standardisierte Patch-Mechanismen ohne Benutzerinteraktion,
• und transparente Kommunikation im Fall von Schwachstellen.

Die SFOS-Architektur und insbesondere die Hotfix-Strategie gelten dabei als Beispiele für gelungene Umsetzung dieser Prinzipien.

Fragen zur Absicherung Ihrer Firewall?

Das Comp4U Team unterstützt beim Betrieb und der kontinuierlichen Absicherung von Sophos Firewalls – inklusive zentralem Patch-Management, Monitoring und sicherheitskonformer Konfiguration.

Kontakt: