Untersuchung: Attacken auf Sonicwall-Firewalls wohl über Lücke aus 2024

Sonicwall hat jüngste Hinweise auf Angriffe auf bestimmte Firewallserien überprüft und ist nun zu dem Schluss gekommen, dass Angreifer wohl nicht an einer Zero-Day-Lücke ansetzen. Vielmehr sei das Einfallstor eine Schwachstelle aus dem Jahr 2024.

Jetzt patchen!

Darauf weist das IT-Unternehmen in einem aktualisierten Beitrag hin. Vor wenigen Tagen sorgten Attacken auf Firewalls der Gen-7-Serie für Schlagzeilen, und verschiedene Sicherheitsforscher vermuteten eine Zero-Day-Lücke als Ansatzpunkt.

Sonicwall führt aus, dass die Angreifer mit hoher Wahrscheinlichkeit abermals an einer älteren „kritischen“ Sicherheitslücke (CVE-2025-40766) ansetzen, die bereits 2024 für Ransomwareattacken ausgenutzt wurde. Sicherheitsupdates sind seitdem verfügbar, aber aufgrund der derzeitigen Attacken offensichtlich bisher nicht flächendeckend installiert. Demzufolge sollten Admins dringend prüfen, ob ihre Instanzen bereits abgesichert sind.

Weitere Details

Der Firewallhersteller gibt an, dass ihnen derzeit weniger als 40 Fälle mit Attacken bekannt sind. Dabei stehen primär Firewalls im Fokus von Angreifern, die von der Gen-6- auf die Gen-7-Reiher migriert wurden. Dabei wurden auch Passwörter mitgenommen, was in diesem Kontext ein Sicherheitsrisiko darstellt. In der Warnmeldung von damals weist Sonicwall Admins zum Ändern von Passwörtern für Nutzer mit SSL-VPN-Zugriff an. Sind Attacken erfolgreich, können Angreifer unter anderem Admin-Accounts übernehmen.

Admins müssen neben dem Zurücksetzen von Passwörtern sicherstellen, dass mindestens die Firmware 7.3.0 installiert ist. Für zusätzlichen Schutz sollten außerdem die Funktionen Botnet Protection, Geo-IP-Filtering und eine Multi-Faktor-Authentifizierung (MFA) aktiv sein. Überdies sollten Admins Accounts kontrollieren und inaktive und ihnen unbekannte Konten umgehend löschen.

(des)