In den vergangenen Monaten standen SonicWall-Firewalls mehrfach im Fokus sicherheitsrelevanter Berichterstattung. Mehrere Schwachstellen wurden aktiv ausgenutzt und in die CISA Known Exploited Vulnerabilities (KEV)-Liste aufgenommen.
Die Schwachstelle CVE-2024-40766 wurde seit September 2024 aktiv ausgenutzt, unter anderem durch die Akira-Ransomware-Gruppe. Im Juli 2025 wurden über 20 gezielte Angriffe registriert, bei denen Angreifer zunächst über verwundbare SonicWall-Appliances in Unternehmensnetzwerke eindrangen. Anschließend erfolgte eine laterale Bewegung zu Domänencontrollern, Einrichtung von Persistenzmechanismen, Datenexfiltration und schließlich die Ransomware-Deployment-Phase.
Kompromittierung veralteter Systeme
Ebenfalls im Juli wurde eine weitere Kampagne beobachtet, die sich gegen vollständig gepatchte, aber End-of-Life (EoL) SonicWall-Systeme richtete. Angreifer verwendeten dabei gestohlene Zugangsdaten aus früheren Angriffen und installierten eine neue persistente Backdoor namens OVERSTEP. Diese Aktivität wird der Bedrohungsgruppe UNC6148 zugeordnet und zeigt Überschneidungen mit früheren Kampagnen, in denen Abyss-Ransomware eingesetzt wurde.
Kompromittierung des Herstellers
Im September 2025 wurde auch SonicWall selbst kompromittiert. Dabei erlangten Angreifer Zugriff auf Konfigurationsdateien von etwa 5 % der installierten Gerätebasis. Diese Dateien enthielten verschlüsselte Zugangsdaten sowie weitere Informationen, die potenziell für gezielte Angriffe auf betroffene Firewalls nutzbar sind.
Bedrohungslage und Exposition
SonicWall-Appliances zählen aktuell zu den beliebtesten Angriffszielen. Analysen zeigen über 610.000 internet-exponierte SonicWall-Systeme, davon über 340.000 mit öffentlich erreichbarer HTTPS-Schnittstelle (SSL VPN). Mehr als 50 % dieser exponierten Geräte befinden sich in den Vereinigten Staaten.
Ausblick und Empfehlungen zur Risikominderung
Da Edge-Geräte zunehmend als initiale Eintrittspunkte missbraucht werden und Angreifer verstärkt auf weit verbreitete Appliances abzielen, ist auch künftig mit weiteren Angriffen – einschließlich Zero-Day- und N-Day-Exploits – auf SonicWall-Produkte zu rechnen.
Empfohlene Sicherheitsmaßnahmen:
- Deaktivierung des SSL VPN-Dienstes, sofern möglich, oder Einschränkung des Zugriffs auf vertrauenswürdige IP-Adressen; Multi-Faktor-Authentifizierung (MFA) erzwingen
- Aktivierung von Botnet Protection und Geo-IP Filtering (sofern vom Gerät unterstützt)
- Firmware-Update auf die neueste Version von SonicOS durchführen
- Inaktive lokale Benutzerkonten entfernen, insbesondere solche mit SSL VPN-Zugriff
- Regelmäßige Passwortänderungen für alle Benutzerkonten erzwingen, um Wiederverwendung kompromittierter Zugangsdaten zu vermeiden
- Passwort-Reset für alle lokalen Benutzer mit SSL VPN-Zugriff, insbesondere bei Migrationen von Gen 6 auf Gen 7
www.forescout.com/research-labs/
(Fotos: NET)
