AirSnitch: Sophos AP6- und APX-Access-Points absichern

von: 11. Mai 2026

Sophos hat am 21. April 2026 ein Security Advisory zu AirSnitch-Schwachstellen in Sophos AP6- und APX-Series Access Points veröffentlicht. Die Einstufung lautet Medium, ein CVE ist nicht vergeben. Betroffen ist das Produkt Sophos Wireless. Laut Sophos gibt es aktuell keine vollständige Behebung und keine korrigierte Version für diese Angriffsklasse. Kunden müssen daher Workarounds und Netzwerkschutzmaßnahmen umsetzen.

Was ist AirSnitch?

AirSnitch ist eine Klasse von Techniken, mit denen die WLAN-Client-Isolation umgangen werden kann. Ein Angreifer im selben SSID-Netzwerk kann unter bestimmten Bedingungen Datenverkehr zwischen Clients einschleusen, abfangen oder weiterleiten, obwohl diese Clients eigentlich voneinander isoliert sein sollten. Die tatsächliche Ausnutzbarkeit hängt von der konkreten Angriffsvariante, dem WLAN-Modus, dem SSID-Design und den vorgelagerten Netzwerkschutzmechanismen ab.

AirSnitch wurde laut Sophos im Rahmen der NDSS’26-Forschung und zugehöriger Berichte öffentlich beschrieben. Die Techniken unterscheiden sich dabei in ihrer Wirkung: Einige ermöglichen primär das Einspeisen von Datenverkehr, andere das Abfangen von Datenverkehr. Vollständige Man-in-the-Middle-Szenarien erfordern typischerweise eine Kombination aus Injektion und Abfangen oder permissives Upstream-Routing

Betroffene Produkte und Versionen

Betroffen sind laut Sophos:

Sophos AP6-Serie – alle Versionen
Sophos APX-Serie – alle Versionen

Das Risiko hängt jeweils von der Konfiguration und der konkreten AirSnitch-Angriffsvariante ab. Sophos weist außerdem darauf hin, dass AP6 Access Points nur über injektionsorientierte Angriffspfade anfällig sind. Vollständige Man-in-the-Middle-Erfolge sind mit AirSnitch allein bei AP6 daher nicht möglich.

Die von Sophos genannten AirSnitch-Techniken

GTK Abuse

Bei Group Temporal Key Abuse kann ein Angreifer Gruppenschlüssel missbrauchen, die gemäß WLAN-Spezifikation zwischen allen Clients derselben SSID geteilt werden. Dadurch können Pakete direkt an einen oder mehrere Clients im WLAN gesendet werden. Betroffen sind AP6- und APX-Access-Points bei Verwendung von WPA2-Personal, WPA3-Personal oder WPA2/WPA3-Personal im gemischten Modus.

Sophos empfiehlt hier, soweit möglich, WPA2/WPA3-Enterprise mit 802.1X und externem RADIUS-Server statt Shared-Key-Authentifizierung einzusetzen. Das verbessert die Zugriffskontrolle und reduziert unberechtigten Zugriff, beseitigt GTK-basierte Angriffsvektoren aber nicht vollständig.

Gateway Bouncing

Gateway Bouncing nutzt die Lücke zwischen Layer-2-Isolation und Layer-3-Weiterleitung. Ein Angreifer sendet einen speziell präparierten Frame, bei dem die Layer-2-MAC-Adresse auf das Upstream-Gateway zeigt, während die Layer-3-IP-Adresse auf den Opfer-Client gesetzt ist. Der Access Point leitet den Frame zum Gateway weiter, das Gateway routet ihn zurück zum Zielclient. Dadurch kann Traffic über das Gateway „zurückgeworfen“ und an WLAN-Clients eingeschleust werden. AP6 und APX sind hierfür anfällig.

Port Stealing

Port Stealing nutzt die Art aus, wie ein Access Point seine Layer-2-Weiterleitungstabelle lernt und verwaltet. Ein Angreifer fälscht die MAC-Adresse eines Opfer-Clients oder des Netzwerk-Gateways. Dadurch kann der Access Point die legitime MAC-Adresse mit der Schnittstelle des Angreifers verknüpfen, wodurch Datenverkehr abgefangen werden kann. Dies kann innerhalb derselben SSID oder SSID-übergreifend auf demselben Access Point auftreten. AP6 ist laut Sophos hierfür nicht anfällig, APX hingegen schon.

Für APX empfiehlt Sophos zusätzlich, die SSID-übergreifende Exposition zu reduzieren: weniger SSIDs pro Access Point, ungenutzte oder redundante SSIDs deaktivieren und überlappende Vertrauenszonen vermeiden.

Broadcast Reflection

Bei Broadcast Reflection wird Broadcast- oder Multicast-Übertragung als Träger für gezielten Datenverkehr genutzt. Ein Angreifer sendet einen speziell präparierten WLAN-Frame, der wie Gruppenverkehr aussieht, aber eine Unicast-IP-Nutzlast für einen bestimmten Zielclient enthält. Wenn das Netzwerk diesen Frame als Gruppenverkehr weiterleitet, kann der Zielclient die eingebettete Nutzlast empfangen und verarbeiten, obwohl direkte Client-zu-Client-Kommunikation eigentlich blockiert sein sollte. AP6 und APX sind hierfür anfällig.

Workarounds und empfohlene Schutzmaßnahmen

Sophos stellt klar: Für diese Angriffsklasse gibt es aktuell keinen vollständigen Schutz. Die folgenden Maßnahmen reduzieren jedoch das Risiko.

Unsere Empfehlung

Administratoren sollten Sophos-Wireless-Umgebungen mit AP6- und APX-Access-Points zeitnah prüfen. Besonders kritisch sind Gäste-WLANs, BYOD-Netze, IoT-Netze und alle SSIDs, in denen vertrauenswürdige und nicht vertrauenswürdige Clients gemeinsam betrieben werden.

Wichtig ist: Client-Isolation allein sollte nicht als vollständige Sicherheitsgrenze betrachtet werden. Entscheidend ist das Zusammenspiel aus SSID-Design, VLAN-Segmentierung, Firewall-Regeln, Gateway-Verhalten und Anti-Spoofing-Maßnahmen.

Benötigen Sie Unterstützung bei der Analyse Ihrer Sophos-Wireless-Umgebung?

Das technische Team von UTMshop unterstützt Sie bei der Analyse Ihrer Sophos-Wireless-Konfiguration, der Prüfung betroffener SSIDs, der Bewertung von Client-Isolation, VLAN-Segmentierung, Gateway-/Firewall-Regeln. Termin buchen