Jetzt patchen! Erneut Attacken auf SonicWall-Firewalls beobachtet

Wiederholt ist eine Schwachstelle in bestimmten Firewalls von SonicWall im Visier von Angreifern. Sicherheitsupdates sind bereits seit rund einem Jahr verfügbar, aber offensichtlich weiterhin nicht flächendeckend installiert.

Hintergründe

Die „kritische“ Sicherheitslücke (CVE-2024-40766) ist seit August vergangenen Jahres bekannt. Bereits im September 2024 kam es zu ersten Attacken. Im Oktober gleichen Jahres nutzten dann die Ransomwarebanden Akira und Fog die Schwachstelle aus.

Im August dieses Jahres sorgten dann erneut Attacken auf SonicWall-Firewalls für Schlagzeilen. Sicherheitsforscher vermuteten erst eine Zero-Day-Lücke als Ansatzpunkt für Angreifer. Es stellte sich aber relativ schnell heraus, dass die Lücke aus 2024 erneut ausgenutzt wurde.

Wie aus der initialen Warnmeldung von SonicWall hervorgeht, sind von der Schwachstelle in der SSLVPN-Komponente bestimmte, in dem Beitrag aufgelistete Firewalls der Gen-5-, Gen-6- und Gen-7-Serie betroffen. Die Lücke ist ab den Versionen 5.9.2.14-13o, 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800), 6.5.4.15.116n (für andere Gen6-Firewall-Appliances) und 7.0.1-5035 geschlossen.

Sind Attacken erfolgreich, können Angreifer Instanzen abstürzen lassen und sich unbefugten Zugriff verschaffen. Neben der Installation der Sicherheitsupdates sollten Admins auch die Zugangsdaten ändern. Außerdem sollte sichergestellt sein, dass die Multi-Faktor-Authentifizierung (MFA) eingeschaltet ist.

Status quo

Nun gibt es erneut Berichte von Sicherheitsforschern von unter anderem Rapid7, dass Akira die Schwachstelle erneut im Visier hat. Dabei sollen sie sich höhere Nutzerrechte verschaffen, Dateien kopieren und verschlüsseln und Backupvorgänge stoppen. In welchem Umfang die Attacken ablaufen, ist derzeit nicht bekannt. Admins sollten unbedingt sicherstellen, dass ihre Appliances gegen die geschilderte Attacke abgesichert sind.

(des)