Die j\u00fcngsten Angriffe auf SonicWall-Firewalls unterstreichen erneut, wie schwierig es f\u00fcr Betreiber kritischer Infrastrukturen ist, die Kontrolle \u00fcber Sicherheitsl\u00fccken in weit verbreiteten Netzwerkger\u00e4ten zu behalten. Besonders die Schwachstelle CVE-2024-40766, die die SSL-VPN-Komponente mehrerer Generationen von Appliances betrifft, zeigt eine bekannte Systematik: Ein Hersteller ver\u00f6ffentlicht Patches, doch deren Umsetzung durch Betreiber bleibt unzureichend, womit Angreifer eine breite Angriffsfl\u00e4che vorfinden. Betroffen sind neben \u00e4lteren Ger\u00e4ten der Gen\u20115- und Gen\u20116-Reihe vor allem die weiterhin produzierten Gen\u20117-Modelle, die in Unternehmensnetzen und im \u00f6ffentlichen Sektor weltweit verbreitet genutzt werden. <\/p>\n
SonicWall lieferte im August Sicherheitsupdates f\u00fcr mehrere Plattformen aus, darunter die Firmware-Versionen 5.9.2.14-13o, 6.5.2.8-2n f\u00fcr Systeme wie SM9800 und NSsp 12400 sowie NSsp 12800, 6.5.4.15.116n f\u00fcr andere Gen\u20116\u2011Appliances sowie 7.0.1\u20115035 f\u00fcr Gen\u20117\u2011Ger\u00e4te. Trotz dieser Aktualisierungen registrieren Sicherheitsforscher in zunehmendem Ma\u00df Angriffe, die den Verschl\u00fcsselungstrojaner Akira einsetzen, um Netzwerke zu kompromittieren. Der Erfolg dieser Kampagnen legt nahe, dass viele Firewalls weiterhin ungepatcht betrieben werden, wodurch Angreifer \u00fcber \u00f6ffentlich bekannte Exploits eindringen k\u00f6nnen. <\/p>\n
Auff\u00e4llig ist, dass die Attacken auch in F\u00e4llen Erfolg haben, in denen eine Multi-Faktor-Authentifizierung aktiv geschaltet ist. Normalerweise gilt MFA als wirksame Ma\u00dfnahme gegen einfache Credential-Stuffing-Angriffe oder gestohlene Passw\u00f6rter. In diesem Fall berichten Sicherheitsteams jedoch von Vorf\u00e4llen, bei denen Angreifer offenbar selbst g\u00fcltige Einmalpassw\u00f6rter generieren konnten. Die Ursache ist nicht abschlie\u00dfend gekl\u00e4rt. Untersuchungen haben gezeigt, dass vergleichbare Vorf\u00e4lle bereits von anderen Forschungsgruppen wie der Google Threat Intelligence Group dokumentiert wurden, wo es Hinweise darauf gibt, dass Angreifer Zugriff auf Secrets zur OTP-Berechnung besitzen. Sollte sich dies best\u00e4tigen, bedeutet es, dass die Kontrolle einmal kompromittierter Secrets durch den Betreiber kaum wiederzuerlangen ist, solange diese nicht vollst\u00e4ndig erneuert werden. <\/p>\n
Der Kryptotrojaner Akira, der hier genutzt wird, geh\u00f6rt zu den derzeit h\u00e4ufig eingesetzten Werkzeugen im Bereich Ransomware-as-a-Service. Akira kombiniert Datenverschl\u00fcsselung mit Exfiltration und droht mit Ver\u00f6ffentlichung entwendeter Daten, um Druck auf Unternehmen auszu\u00fcben. Das gezielte Einschleusen \u00fcber VPN-Schwachstellen hat sich in den vergangenen Monaten bereits bei anderen Anbietern wie Fortinet oder Ivanti gezeigt. Angreifer bevorzugen diese Methode, da perimeternah eingesetzte Firewalls direkten Zugang zum internen Netz erm\u00f6glichen und oft privilegierte Administrationskonten enthalten. <\/p>\n
Brisant ist, dass es bislang keine klare Entwarnung oder technische Mitigation f\u00fcr die MFA-Umgehung gibt. Selbst wenn Administratoren die empfohlenen Firmware einspielen, bleibt die Unsicherheit bestehen, ob Angreifer \u00fcber zuvor abgegriffene Secrets weiterhin Einmalpassw\u00f6rter erzeugen und sich so persistente Zug\u00e4nge sichern konnten. Deswegen raten Sicherheitsanbieter zus\u00e4tzlich, alle bestehenden Benutzerkonten zu \u00fcberwachen und gegebenenfalls kompromittierte Anmeldedaten vollst\u00e4ndig zur\u00fcckzusetzen. <\/p>\n
Schlagw\u00f6rter: NSsp + Gen-6 + SonicWall
(pz)<\/p>\n","protected":false},"excerpt":{"rendered":"
Die j\u00fcngsten Angriffe auf SonicWall-Firewalls unterstreichen erneut, wie schwierig es f\u00fcr Betreiber kritischer Infrastrukturen ist, die Kontrolle \u00fcber Sicherheitsl\u00fccken in weit verbreiteten Netzwerkger\u00e4ten zu behalten. Besonders die Schwachstelle CVE-2024-40766, die die SSL-VPN-Komponente mehrerer Generationen von Appliances betrifft, zeigt eine bekannte Systematik: Ein Hersteller ver\u00f6ffentlicht Patches, doch deren Umsetzung durch Betreiber...<\/p>\n","protected":false},"author":6,"featured_media":14486,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[1],"tags":[],"class_list":["post-14487","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized"],"_links":{"self":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14487","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=14487"}],"version-history":[{"count":3,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14487\/revisions"}],"predecessor-version":[{"id":14509,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/posts\/14487\/revisions\/14509"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=\/wp\/v2\/media\/14486"}],"wp:attachment":[{"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=14487"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=14487"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/byte-bucket.com\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=14487"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}