Sicherheitsforscher warnen vor einer aktiv ausgenutzten Schwachstelle in SonicWall. Der Fehler wurde Anfang Januar 2025 entdeckt und anschließend behoben. Cyberkriminelle nutzen eine Schwachstelle in SonicWall-Firewalls aus, um Zugriff auf Zielpunkte zu erlangen, das VPN zu manipulieren und mehr, wie Sicherheitsforscher Arctic Wolf enthüllt haben.

Der Fehler betrifft eine fehlerhafte Authentifizierung in SonicWall-SSLVPN-Mechanismus. Er wurde Anfang Januar 2025 entdeckt und erhielt eine Schweregradbewertung von 9,8/10 – kritisch. Der Fehler betrifft SonicOS-Versionen 7.1.x (bis 7.1.1-7058), 7.1.2-7019 und 8.0.0-8035. SonicWall veröffentlichte Versionen SonicOS 8.0.0-8037 und höher, 7.0.1-5165 und höher, 7.1.3-7015 und höher sowie 6.5.5.1-6n und höher, um den Fehler zu beheben.

Kurz nach der Veröffentlichung eines Fixes durch SonicWall kam das Sicherheitsunternehmen Bishop Fox mit einem Proof-of-Concept-Exploit heraus, um die Sicherheitsgemeinschaft und SonicWall-Benutzer vor potenziellen Angriffswegen zu warnen. In der Folge erhielten auch Cyberkriminelle Ideen, wie sie die Schwachstelle ausnutzen könnten, und dies ist erwartungsgemäß geschehen.

​​Exploit-Versuche

„Kurz nachdem der Proof-of-Concept veröffentlicht wurde, begann Arctic Wolf Ausbeutungsversuche dieser Schwachstelle in der Bedrohungslandschaft zu beobachten“, erklärte das Unternehmen in seinem Sicherheitsratgeber. Die Forscher erklärten, dass der Zielendpunkt im Exploit einen bösartigen Sitzungsversuch falsch validiert. Als Ergebnis wird das Ziel abgemeldet, während der Angreifer Zugriff auf die Sitzung erhält, einschließlich der Möglichkeit, Lesezeichen des Virtual Office des Opfers zu lesen, auf VPN-Clientkonfigurationseinstellungen zuzugreifen, einen VPN-Tunnel zu öffnen und mehr.

Obwohl seit über einem Monat ein Patch verfügbar ist, gibt es immer noch Tausende von gefährdeten Endpunkten. Via The Register.