[English]Jemand unter der Blog-Leserschaft, der auf SonicWall setzt. Seit Tagen gibt es Berichte, dass Angriffe auf SonicWall Firewalls beobachtet werden. Es scheint sich auf die SSL VPN-Funktion der Gen 7 SonicWall Firewalls zu beziehen. Unklar ist, ob eine unbekannte Schwachstelle ausgenutzt werden soll.
Eine alte Meldung zur SonicWall SMA 100
Ich hatte es nicht im Blog, aber bereits Mitte Juli 2025 kam mir die Mandiant-Warnung aus nachfolgendem Tweet auf den Tisch.
Ein finanziell motivierter Bedrohungsakteur mit der Bezeichnung UNC6148 greift vollständig gepatchte, aber aus dem Support gefallene SonicWall SMA 100 Appliances an. Es werde eine neue, persistente Backdoor (OVERSTEP) installiert. Details finden sich im Beitrag Ongoing SonicWall Secure Mobile Access (SMA) Exploitation Campaign using the OVERSTEP Backdoor.
Artic Wolf warnt vor Angriffen auf SonicWall SSL-VPNs
Ein Leser hat mich inzwischen ebenfalls per E-Mail mit dem Betreff Gen 7 SonicWall Firewalls – SSLVPN Recent Threat Activity auf eine weitere Warnung hingewiesen. Sicherheitsanbieter Artic Wolf hat zum 1. August 2025 im Beitrag Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN – Copy eine Warnung ausgesprochen.
Arctic Wolf beobachtet seit Ende Juli 2025 eine Zunahme von Ransomware-Aktivitäten (genannt wird Akira), die auf SonicWall-Firewall-Geräte als ersten Zugang abzielen. Bei den untersuchten Angriffen wurden innerhalb kurzer Zeit mehrere Vorfälle beobachtet, wo vor dem Einsatz von Ransomware jeweils erfolgreiche Angriffe mit Zugriff über SonicWall SSL-VPNs auf das VPN stattfanden. Auch hier wurde der kurze Zeitraum zwischen Zugriffen auf SonicWall SSL-VPNs und der Verschlüsselung durch die Ransomware erwähnt.
Derzeit kann zwar noch kein Zugriff auf Anmeldedaten der SonicWall SSL-VPNs durch Brute-Force-Angriffe, Wörterbuchangriffe und Credential Stuffing in allen Fällen endgültig ausgeschlossen werden. Artic Wolf schreibt aber, dass die verfügbaren Beweise auf das Vorhandensein einer Zero-Day-Sicherheitslücke hindeuten.
In einigen Fällen waren vollständig gepatchte SonicWall-Geräte nach einer Änderung der Anmeldedaten betroffen. Trotz aktivierter TOTP-MFA wurden in einigen Fällen dennoch Konten kompromittiert. Arctic Wolf Labs untersucht derzeit diese Kampagne und wird weitere Details bekannt geben, sobald diese verfügbar sind.
Empfehlung SonicWall SSL-VPNs deaktivieren
Artic Wolf empfiehlt Unternehmen, angesichts der hohen Wahrscheinlichkeit einer Zero-Day-Sicherheitslücke, zu erwägen, den SonicWall SSL VPN-Dienst zu deaktivieren, bis ein Patch verfügbar ist und bereitgestellt wird.
Weitere Warnung, Stellungnahme von SonicWall
Auch von Huntress gab es diese Warnung, dass SonicWall VPNs aktiv angegriffen werden. In diesem Tweet berichten die von Angriffen. Inzwischen hat SonicWall diese Stellungnahme veröffentlicht, die besagt, dass es kein 0-Day-Exploit ist, der für Angriffe benutzt wird.
Stattdessen bestehe ein signifikanter Zusammenhang mit Bedrohungsaktivitäten im Zusammenhang mit CVE-2024-40766, die bereits in SNWLID-2024-001 offengelegt und dokumentiert wurde.
Viele der derzeit im Zusammenhang mit dieser Cyberaktivität untersuchen (weniger als 40) Vorfälle stehen im Zusammenhang mit der Migration von Firewalls der Generation 6 auf Firewalls der Generation 7, bei der lokale Benutzerkennwörter während der Migration übernommen und nicht zurückgesetzt wurden, schreibt der Hersteller. Das Zurücksetzen von Kennwörtern war ein wichtiger Schritt, der in der ursprünglichen Empfehlung beschrieben wurde.
SonicOS 7.3 bietet laut SonicWall zusätzlichen Schutz vor Brute-Force-Passwort- und MFA-Angriffen. Ohne diese zusätzlichen Schutzmaßnahmen sind Brute-Force-Angriffe auf Passwörter und MFA leichter durchführbar. Der Hersteller empfiehlt das Update der betroffenen SonicWall Firewall-Appliances samt dem Zurücksetzen der Kennwörter.
MVP: 2013 – 2016
Ich habe für eine paar Jahre (bis 2021) eine Sonicwall eingesetzt und war sehr zufrieden.
Bedienung, Leistung und Support war gut.
In den letzten Jahren liest man jedoch ständig (also gefühlt öfters als von anderen Herstellern) etwas über Sicherheitlücken.
Scheint nicht so richtig gut zu laufen bei Sonicwall
Man hat in der Tat den Eindruck dass speziell zu Sonicwall recht häufig Sicherheitswarnungen erscheinen, jedoch mag das auch mit der weiten Verbreitung zu tun haben. Ich denke das ist ganz ähnlich zu Citrix Netscaler.
Es lohnt sich für Angreifer einfach in solchen sehr weit verbreiteten Systemen nach Sicherheitslücken zu suchen.
Als Nutzer einer SonicWall NSA x700 (Gen 7) bin ich zunächst davon ausgegangen, dass die Schwachstelle SNWLID-2024-0015 (CVE-2024-40766) ausschließlich ein Firmware-Update für Gen 7 erfordert. Diese Einschätzung basierte auf dem offiziellen SonicWall Advisory, das im Punkt zur Passwortaktualisierung ausdrücklich nur GEN5 und GEN6 mit lokal verwalteten SSLVPN-Accounts nannte:
„SonicWall strongly recommends that all users of GEN5 and GEN6 firewalls with locally managed SSLVPN accounts immediately update their passwords…"
Ein Hinweis auf Gen 7 oder auf Risiken durch übernommene Benutzerkonten bei Migrationen von Gen 6 auf Gen 7 war dort nicht enthalten. Auch die Anleitung zur Aktivierung der Option „User must change password" bezog sich ausschließlich auf Gen 5/6. Auch Stand heute steht dort nichts davon.
Erst im Rahmen der laufenden Untersuchungen zu den aktuellen Vorfällen wurde auf der SonicWall-Webseite zur Schwachstelle deutlicher kommuniziert:
„Many of the incidents relate to migrations from Gen 6 to Gen 7 firewalls, where local user passwords were carried over during the migration and not reset. Resetting passwords was a critical step outlined in the original advisory."
Quelle: SonicWall PSIRT Advisory SNWLID-2024-0015
Diese nachträgliche Klarstellung empfinde ich als problematisch, da sie aus dem ursprünglichen Advisory so nicht hervorging. Wer sich strikt an die offizielle Anleitung gehalten hat, hat bei einer vorherigen Gen 6→Gen 7 Migration keinen Anlass gesehen, die Passwörter lokaler Konten zurückzusetzen – mit jetzt möglichweise potentiellen Folgen.
Besonders kritisch ist zudem, dass SonicWall keine proaktive Benachrichtigung an betroffene Kunden versandt hat – obwohl die betroffenen Appliances samt Kontaktinformationen im MySonicWall-Portal registriert sind.
Interessant. Gibt es ein SonicWall-Support-Forum (wenn möglich öffentlich einsehbar auch für andere), in dem du diesen Punkt veröffentlichen kannst?
Wir bekommen alle Informationen immer per Email. Lässt sich irgendwo im MySonicwall Portal einstellen.
Als Sonicwall-Partner machen uns diese ständigen SSL-VPN Probleme mächtig zu schaffen… Immer wieder in Hau-Ruck Aktionen massenhaft Firewalls zu aktualisieren nervt. Wir verkaufen bei Lizenzverlängerungen mittlerweile nur noch NSM Lizenzen um die Aktualisierungen zu vereinfachen.
Die aktuelle Situation ist auch wieder sehr unbefriedigend. So wird in der Beschreibung der 7.3.0 der Eindruck erweckt, als würde es die SSL-VPN Lücke schließen, was aber nicht der Fall ist. Außerdem hat diese Version die dynamische Botnet-Liste unserer Kunden "bekämpft" und alle 6 Minuten einen Reboot ausgelöst. Der Support hat zwar schnell reagiert, aber der Schaden war erstmal da.
Und nun versucht Sonicwall mit CSE von SSL-VPN wegzukommen. Mal sehen, aber insgesamt finde ich die ständigen SSL-VPN Lücken als hochproblematisch, zumal wir auch KRITIS Kunden betreuen.