Jetzt patchen! Angreifer kapern VPN-Verbindungen von Sonicwall-Firewalls

Bestimmte Firewalls von Sonicwall sind verwundbar, und Angreifer nutzen derzeit eine Sicherheitslücke aktiv aus. Dabei kapern sie VPN-Verbindungen.

Davor warnen Sicherheitsforscher von Arctic Wolf in einem Beitrag. Die Attacken begannen kurz nach der Veröffentlichung von Proof-of-concept-Code (PoC). Die Schwachstelle (CVE-2024-53704 "hoch") ist seit Anfang 2025 bekannt. Bereits zu diesem Zeitpunkt warnte Sonicwall, dass Attacken mit hoher Wahrscheinlichkeit bevorstehen. Das hat sich nun bestätigt. Den Forschern zufolge waren Anfang Februar noch rund 4500 verwundbare Firewalls über das Internet erreichbar. Admins sollten zügig handeln.

Softwareschwachstelle

Die Lücke betrifft die SonicOS-SSLVPN-Komponente. Weil ein Authentifizierungs-Algorithmus nicht korrekt implementiert ist, kommt es bei der Verarbeitung von Base64-Cookies zu Fehlern, und Angreifer können die Authentifizierung umgehen. Attacken sind aus der Ferne und ohne Authentifizierung möglich. Weitere technische Details zum Ablauf von Angriffen haben die Forscher in einem Bericht zusammengetragen.

Im Anschluss übernehmen Angreifer die Kontrolle über VPN-Sessions. In so einer Position können sie sich im Netzwerk ausbreiten und etwa Ransomware installieren. Welche konkreten Auswirkungen die derzeitigen Attacken haben und in welchem Umfang sie ablaufen, ist zurzeit nicht bekannt.

Jetzt patchen!

In einer Warnmeldung schreibt Sonicwall, dass davon ausschließlich Gen6-, Gen7- und Gen7-NSv-Firewalls bedroht sind. Dagegen sind die Versionen 6.5.5.1-6n, 7.0.1-5165 und 7.1.3-7015 abgesichert. Alle vorigen Ausgaben sind verwundbar.

Als Hinweis (Indicator of Compromise IoC) für bereits erfolgte Attacken listet Sonicwall diesen Log-Eintrag auf:

ID: [event_ID]


Event: SSL VPN Session


Message Type: Simple Message String


Message: “User [SSLVPN_User]: Reuse SSLVPN session for the no. time(s)”

(des)