Jetzt patchen! Angreifer attackieren Firewalls von Sonicwall

Aufgrund von derzeit laufenden Attacken sollten Netzwerk-Admins ihre Firewalls von Sonicwall umgehend aktualisieren und Passwörter von SSLVPN-Nutzern ändern. Geschieht das nicht, können Angreifer Firewalls abstürzen lassen.

Firewallschutz beeinträchtigt

Die „kritische“ Sicherheitslücke (CVE-2024-40766) ist seit Ende August 2024 bekannt. Nun hat der Hersteller die Warnmeldung überarbeitet und warnt vor einer aktiven Ausnutzung der Schwachstelle, um Geräte zu attackieren. Außerdem betrifft die Schwachstelle neben SonicOS auch die SSLVPN-Komponente, führen die Entwickler aus.

Weil Zugangskontrollen nicht verlässlich funktionieren, können sich Angreifer auf einem nicht näher beschriebenen Weg Zugriff für eine DoS-Attacke verschaffen und Firewalls so aus dem Verkehr ziehen. Davon sind Geräte der Serien Gen5, Gen6 und Gen7 bis inklusive der Firmwares 5.9.2.14-12o, 6.5.4.14-109n und 7.0.1-5035 betroffen.

Sonicwall versichert, die Schwachstelle in den folgenden Ausgaben geschlossen zu haben:

• 5.9.2.14-13o
• 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800)
• 6.5.4.15.116n (für weitere Gen6 Firewall Appliances)
• Firmwares aktueller als 7.0.1-5035

Größere Angriffsfläche

Wie der Hersteller mittlerweile herausgefunden hat, ist von der Lücke neben SonicOS auch das SSLVPN-Feature betroffen. Demzufolge sollten Admins Accounts umgehend so einrichten und darüber hinaus sicherstellen, dass SSLVPN-Nutzer ihr Passwort ändern. Zusätzlich sollte die Multi-Faktor-Authentifizierung aktiviert werden.

Wie Admins bereits attackierte Systeme erkennen können, führt Sonicwall derzeit nicht auf. In der Warnmeldung fehlen zudem Angaben von Indicators of Compromise (IoC), also Hinweisen, wie man einen erfolgreichen Angriff oder den Versuch erkennen kann. In welchem Umfang die Attacken ablaufen, ist zurzeit nicht bekannt.

(des)