Angriffe auf SonicWall-Firewalls (mal wieder)
Die jüngsten Angriffe auf SonicWall-Firewalls unterstreichen erneut, wie schwierig es für Betreiber kritischer Infrastrukturen ist, die Kontrolle über Sicherheitslücken in weit verbreiteten Netzwerkgeräten zu behalten. Besonders die Schwachstelle CVE-2024-40766, die die SSL-VPN-Komponente mehrerer Generationen von Appliances betrifft, zeigt eine bekannte Systematik: Ein Hersteller veröffentlicht Patches, doch deren Umsetzung durch Betreiber bleibt unzureichend, womit Angreifer eine breite Angriffsfläche vorfinden. Betroffen sind neben älteren Geräten der Gen‑5- und Gen‑6-Reihe vor allem die weiterhin produzierten Gen‑7-Modelle, die in Unternehmensnetzen und im öffentlichen Sektor weltweit verbreitet genutzt werden.
SonicWall lieferte im August Sicherheitsupdates für mehrere Plattformen aus, darunter die Firmware-Versionen 5.9.2.14-13o, 6.5.2.8-2n für Systeme wie SM9800 und NSsp 12400 sowie NSsp 12800, 6.5.4.15.116n für andere Gen‑6‑Appliances sowie 7.0.1‑5035 für Gen‑7‑Geräte. Trotz dieser Aktualisierungen registrieren Sicherheitsforscher in zunehmendem Maß Angriffe, die den Verschlüsselungstrojaner Akira einsetzen, um Netzwerke zu kompromittieren. Der Erfolg dieser Kampagnen legt nahe, dass viele Firewalls weiterhin ungepatcht betrieben werden, wodurch Angreifer über öffentlich bekannte Exploits eindringen können.
Auffällig ist, dass die Attacken auch in Fällen Erfolg haben, in denen eine Multi-Faktor-Authentifizierung aktiv geschaltet ist. Normalerweise gilt MFA als wirksame Maßnahme gegen einfache Credential-Stuffing-Angriffe oder gestohlene Passwörter. In diesem Fall berichten Sicherheitsteams jedoch von Vorfällen, bei denen Angreifer offenbar selbst gültige Einmalpasswörter generieren konnten. Die Ursache ist nicht abschließend geklärt. Untersuchungen haben gezeigt, dass vergleichbare Vorfälle bereits von anderen Forschungsgruppen wie der Google Threat Intelligence Group dokumentiert wurden, wo es Hinweise darauf gibt, dass Angreifer Zugriff auf Secrets zur OTP-Berechnung besitzen. Sollte sich dies bestätigen, bedeutet es, dass die Kontrolle einmal kompromittierter Secrets durch den Betreiber kaum wiederzuerlangen ist, solange diese nicht vollständig erneuert werden.
Der Kryptotrojaner Akira, der hier genutzt wird, gehört zu den derzeit häufig eingesetzten Werkzeugen im Bereich Ransomware-as-a-Service. Akira kombiniert Datenverschlüsselung mit Exfiltration und droht mit Veröffentlichung entwendeter Daten, um Druck auf Unternehmen auszuüben. Das gezielte Einschleusen über VPN-Schwachstellen hat sich in den vergangenen Monaten bereits bei anderen Anbietern wie Fortinet oder Ivanti gezeigt. Angreifer bevorzugen diese Methode, da perimeternah eingesetzte Firewalls direkten Zugang zum internen Netz ermöglichen und oft privilegierte Administrationskonten enthalten.
Brisant ist, dass es bislang keine klare Entwarnung oder technische Mitigation für die MFA-Umgehung gibt. Selbst wenn Administratoren die empfohlenen Firmware einspielen, bleibt die Unsicherheit bestehen, ob Angreifer über zuvor abgegriffene Secrets weiterhin Einmalpasswörter erzeugen und sich so persistente Zugänge sichern konnten. Deswegen raten Sicherheitsanbieter zusätzlich, alle bestehenden Benutzerkonten zu überwachen und gegebenenfalls kompromittierte Anmeldedaten vollständig zurückzusetzen.
Schlagwörter: NSsp + Gen-6 + SonicWall
(pz)
