Die IT-Sicherheitslösung Email Security und die Fernzugriffssoftware SonicOS SSLVPN von SonicWall sind verwundbar. Nutzen Angreifer die mittlerweile geschlossenen Sicherheitslücken aus, können Sie Systeme im schlimmsten Fall vollständig kompromittieren. Auch wenn es bislang keine Berichte zu laufenden Attacken gibt, sollten Admins ihre Instanzen zeitnah durch die Installation von Sicherheitsupdates schützen.

Diverse Angriffe möglich

Email Security ist einer Warnmeldung zufolge über zwei Softwareschwachstellen attackierbar. Weil beim Download von Code die Dateiintegrität nicht geprüft wird, können Angreifer Systemdateien modifizieren. Auf diesem Weg können sie sich etwa über ein mit Schadcode präpariertes Root-Dateisystem-Image dauerhaft im System verankern. Die Lücke (CVE-2025-40604) ist mit dem Bedrohungsgrad „hoch“ eingestuft. Damit eine solche Attacke klappt, müssen Angreifer aber Zugriff auf den Datenspeicher oder VMDK haben.

Auch über die zweite Lücke (CVE-2025-40605 „mittel„) können sie Daten manipulieren. Konkret bedroht sind Email Security Appliance 5000, 5050, 7000, 7050, 9000, VMware und Hyper-V. Die Entwickler versichern, die Schwachstellen in den Versionen 10.0.34.8215 und 10.0.34.8223 geschlossen zu haben. Alle vorigen Ausgaben sollen verwundbar sein.

SSLVPN ebenfalls anfällig

SonicOS SSLVPN ist laut den Informationen in einer Warnmeldung über eine Lücke (CVE-2025-40601 „hoch„) angreifbar. An dieser Stelle können Angreifer Speicherfehler auslösen, was zu Abstürzen führt. Wie solche DoS-Attacken im Detail ablaufen könnten, ist bislang nicht bekannt.

Davon sind verschiedene Gen7- und Gen8-Firewalls betroffen, die die Entwickler in der Warnmeldung auflisten. Um Systeme zu schützen, müssen Admins mindestens die Version 7.3.1-7013 oder 8.0.3-8011 installieren.

Im Oktober sorgte SonicWall für Schlagzeilen, weil Angreifer Cloud-Backups von Firewalls kopiert haben.

(des)

Nach zwei Jahren hat die US-Börsenaufsicht ihre Klage gegen den US-Softwareanbieter Solarwinds und dessen Chief Information Security Officer (CISO) fallen lassen, in der es um einen weitreichenden Cyberangriff gegangen war. Das berichtet die Nachrichtenagentur Reuters unter Berufung auf die Securities and Exchange Commission (SEC). Damit endet ein mit großer Aufmerksamkeit verfolgtes Verfahren, in dem es um den weitreichenden Vorwurf gegangen ist, dass SolarWinds vor dem Angriff mit einer potenten Malware gewusst haben soll, dass die eigene IT mangelhaft war. Man hoffe, dass diese Entscheidung die Sorgen anderer Sicherheitschefs zerstreuen helfe, zitiert Reuters das Unternehmen. Das Vorgehen habe abschreckend gewirkt.

Erleichterung bei Solarwinds

In der Klage hat die SEC Solarwinds und CISO Timothy G. Brown persönlich vorgeworfen, „Investoren betrogen zu haben“. Die öffentlichen Äußerungen von Solarwinds über die hauseigenen Cybersicherheitspraktiken und -risiken hätten im Widerspruch zu internen Einschätzungen gestanden, der Betrug habe über zwei Jahre angedauert. Brown sei sich der Cybersicherheitsrisiken und -schwachstellen von SolarWinds bewusst gewesen, habe es aber versäumt, die Probleme zu lösen oder sie teilweise auch nur intern anzusprechen. Das Unternehmen hat das entschieden zurückgewiesen und erklärt, dass das Vorgehen die nationale Sicherheit der USA gefährden würde. Die Klage sollte Firmen und Cybersicherheitsexperten alarmieren, warnte Solarwinds damals.

Von dem Cyberangriff auf Solarwinds‘ Software für das IT- und Netzwerkmanagement waren 2019 zahlreiche Regierungsbehörden und Konzerne betroffen. Cyberkriminelle hatten unbemerkt Schadcode in deren Systeme eingeschleust. Die Angreifer mussten keine Code-Signing-Zertifikate oder -Schlüssel stehlen, da sie bösartigen Code bereits während des Build-Prozesses einfügten, die das Unternehmen am Ende der Entwicklung selbst signierte. Die Auswirkungen der Attacke waren gravierend, Microsoft-Präsident Brad Smith etwa sprach vom „größten und raffiniertesten Angriff, den die Welt je gesehen hat“.

(mho)

Salesforce untersucht derzeit ungewöhnliche Aktivitäten von Gainsight-Applications. Die Apps könnten unbefugten Zugriff auf Daten von Kundinnen und Kunden erlangt haben.

Das teilt das Salesforce auf seiner Webseite mit. „Salesforce hat ungewöhnliche Aktivitäten im Zusammenhang mit von Gainsight veröffentlichten Anwendungen festgestellt, die mit Salesforce verbunden sind und von Kunden selbst installiert und verwaltet werden. Unsere Untersuchungen deuten darauf hin, dass diese Aktivitäten möglicherweise einen unbefugten Zugriff auf die Salesforce-Daten bestimmter Kunden über die Verbindung der App ermöglicht haben“, schreibt das Unternehmen.

Nach der Entdeckung dieser Aktivitäten habe Salesforce alle aktiven Zugriffe zurückgezogen (revoke). Außerdem hat Salesforce die Erneuerung von Token angestoßen, mit denen die von Gainsight veröffentlichten und mit Salesforce verbundenen Apps Zugriff erlangen. Zudem hat das Unternehmen die Apps temporär aus dem AppExchange rausgeworfen, solange die Untersuchungen andauern.

Keine Hinweise auf Salesforce-Schwachstellen

Salesforce weist darauf hin, dass es keine Hinweise dafür gebe, dass das Problem auf Schwachstellen in der Salesforce-Plattform zurückgehe. Die Aktivitäten scheinen von den externen Verbindungen der Apps zu Salesforce auszugehen.

Kunden, bei denen Salesforce ungewöhnliche Aktivitäten beobachtet hat, will das Unternehmen direkt kontaktieren. Außerdem will Salesforce sie auf dem Laufenden halten.

Im Sommer hatten Cyberkriminelle es geschafft, mittels Voice-Phishing Mitarbeiter von renommierten Unternehmen zu überzeugen, entweder direkt Zugangsdaten zu deren Salesforce-Instanzen zu übermitteln oder sie dazu zu bringen, bösartige Apps aus dem AppExchange zu installieren. Darüber haben sie dann im großen Stil sensible Daten abgezogen und die betroffenen Unternehmen damit erpresst. Auf der Liste der Unternehmen fanden sich unter anderem Adidas, Asics, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien waren darunter.

(dmk)