Attacken auf nicht mehr unterstĂĽtzte Fernzugriff-Produkte von Sonicwall
Angreifer attackieren derzeit nicht mehr im Support befindliche Sonicwall Secure Mobile Access und Secure Remote Access mit Ransomware.
Admins, die in Unternehmen den Fernzugriff via Sonicwall Mobile Access (SMA) und Secure Remote Access (SRA) realisieren, sollten die Firmware der Geräte prüfen. Angreifer haben es auf End-of-Life-Geräte (EOL) abgesehen, die keine Sicherheitsupdates mehr bekommen und verschlüsseln Systeme mit einem Erpressungstrojaner.
Wie aus einer Warnmeldung hervorgeht, sind davon ausschlieĂźlich die SMA-Serie 100 und SRA-Produkte betroffen. Diese setzen eine verwundbare EOL-Firmware 8.x ein. SMA 1000 ist Sonicwall zufolge nicht von der LĂĽcke betroffen. Auch SMA 100 und SRA mit der Firmware 9.x oder 10.x sind nicht bedroht. Um welche Schwachstelle es konkret geht und wie Angriffe im Detail ablaufen, ist derzeit nicht bekannt.
Was tun?
Um Attacken vorzubeugen, sollten Admins die folgenden Produkte umgehend vom Netz trennen und die Passwörter zurücksetzen. Andernfalls wird es aller Wahrscheinlichkeit nach zu einer Infektion kommen.
- SRA 4600/1600 (EOL 2019)
- SRA 4200/1200 (EOL 2016)
- SSL-VPN 200/2000/400 (EOL 2013/2014)
Kommt SMA 400/200 zum Einsatz, sollten Admins umgehend die Firmware 9.0.0.10 oder 10.2.0.7-34 installieren, Passwörter resetten und die Multi-Faktor-Authentifizierung (MFA) aktivieren. SMA 210/410/500v sind zwar laut Aussage von Sonicwall nicht von den aktuellen Attacken betroffen. Nichtsdestotrotz sollten Admins die Firmware 9.0.0.10-28sv oder 10.2.0.7-34sv installieren.
Kunden mit verwundbaren EOL-Produkten bietet Sonicwall bis 31. Oktober 2021 eine kostenlosen virtuellen Ersatz in Form von SMA 500v an. Das Angebot können Kunden in ihrem Account in Anspruch nehmen. Auf lange Sicht sollte der Umstieg auf ein im Support befindliches Fernzugriff-Produkt stattfinden.
(des)