Sicherheits-Appliance: Angreifer kapern SonicWall-Geräte mit Systemkommandos
Die Sicherheitslücke wird bereits von Missetätern angewendet, so der Hersteller. Wer die betroffene Appliance einsetzt, sollte patchen.
In SonicWall-Appliances vom Typ SMA1000 klafft eine schwere LĂĽcke.
(Bild: rstellt mit KI in Bing Designer durch heise online / dmk)
In den Verwaltungskonsolen der SonicWall-Appliance SMA1000 klafft eine schwere Sicherheitslücke. Über eine unsichere Deserialisierung (CVE-2025-23006, Einstufung kritisch, CVSS-Wert 9,8/10) können Angreifer unter bestimmten Bedingungen Systemkommandos aus der Ferne einschleusen, welche das Gerät dann ausführt.
Wie der Hersteller in einem Sicherheitshinweis erklärt, ist lediglich die Appliance vom Typ SMA1000 betroffen, die Produktserien "SonicWall Firewall" und SMA 100 leiden nicht unter der Sicherheitslücke.
Wer die Produktversion 12.4.3-02804 oder älter einsetzt, ist angreifbar und sollte seine Geräte flugs auf die reparierte Ausgabe 12.4.3-02854 aktualisieren. Zudem legt SonicWall seinen Kunden nahe, den Zugriff auf die Application Management Console (AMC) und Central Management Console (CMC) auf vertrauenswürdige Netze zu beschränken.
Aktive Angriffe auf die SicherheitslĂĽcke
Der Hinweis auf den Codeschmuggel-Fehler kam offenbar von Microsofts Threat Intelligence Center (MSTIC). Der Wink, dass Angreifer die Lücke bereits aktiv ausnutzen, kam vermutlich ebenfalls aus Redmond, dürfte aber in Kürze auch über die Kanäle der US-Cybersicherheitsbehörde CISA laufen.
Seit Jahresbeginn ist diese Sicherheitslücke bereits der dritte kritische Fehler in einer Security-Appliance. Zuvor hatten sich bereits Ivanti und FortiNet um gefährliche Probleme auf ihren Geräten kümmern müssen. Letztere waren zudem in die Schlagzeilen geraten, weil Unbekannte tausende ältere VPN-Konfigurationen und -Zugangsdaten von FortiNet-Geräten im Darknet verschenkten.
(cku)
