Erhöhte Bedrohungsaktivität gegen SonicWall Gen 7 Firewalls mit SSLVPN - Sofortmaßnahmen empfohlen

05. August 2025

Update: 07. August 2025

Ergänzung von technischen Indikatoren für eine forensische Untersuchung möglicherweise betroffener Geräte sowie Informationen zu der angeblich relevanten Schwachstelle.

Beschreibung

Laut SonicWall ist die in den vergangenen Tagen beobachtete Angriffswelle gegen Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN auf eine bereits bekannte Sicherheitslücke zurückzuführen, CVE-2024-40766.

Laut SonicWall sind bislang "weniger als 40" Vorfälle im Zusammenhang mit dem aktuellen Sachverhalt bekannt geworden. Es ist davon auszugehen, dass die Dunkelziffer höher ist und die Angriffe weiterhin anhalten. In seinem Advisory schreibt das Unternehmen, dass eine Vielzahl der bekannten Vorfälle auf Migrationen von SonicWall-Firewalls zurückzuführen sei, bei denen lokale Benutzer:innen und Passwörter nicht zurückgesetzt worden sein.

CVE-Nummer(n): Laut Hersteller CVE-2024-40766

CVSS Base Score: 9.3

Auswirkungen

Die genauen Auswirkungen sind noch Gegenstand der Untersuchung. Betroffen sind Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN. Die Bedrohungsaktivität könnte zu unbefugtem Zugriff auf Netzwerkinfrastruktur führen.

Betroffene Systeme

  • SonicWall Gen 7 Firewalls mit aktiviertem SSLVPN

Abhilfe

Die Untersuchung der Vorfälle ist noch nicht abgeschlossen. Für den Moment empfiehlt SonicWall dringend folgende Maßnahmen:

Primäre Maßnahme:

  • Aktualisierung aller SonicWall Firewalls auf SonicOS 7.3.0 oder höher
  • Danach zurücksetzen aller Passwörter von lokalen Nutzer:innen mit SSLVPN-Zugriff

Sollte dies nicht möglich sein:

  • SSLVPN-Dienste deaktivieren (wo praktikabel)
  • SSLVPN-Konnektivität auf vertrauenswürdige Quell-IPs beschränken
  • Sicherheitsdienste aktivieren: Botnet-Schutz und Geo-IP-Filterung einschalten
  • Multi-Faktor-Authentifizierung (MFA) für alle Remote-Zugriffe forcieren
  • Ungenutzte Benutzerkonten entfernen: Inaktive oder ungenutzte lokale Benutzerkonten auf der Firewall löschen, insbesondere solche mit SSLVPN-Zugriff

Aufgrund der bestätigterweise erfolgten Angriffe sollte neben den genannten Maßnahmen auch eine Untersuchung möglicherweise betroffener Geräte auf eine unter Umständen bereits geschehene Kompromittierung erfolgen. Entsprechende technische Indikatoren für eine solche Analyse werden sowohl von Huntress Labs als auch von Arctic Wolf bereitgestellt.

Hinweis

SonicWall arbeitet eng mit internationale Partner:innen zusammen und wird Partner:innen und Kund:innen kontinuierlich über den Fortschritt der Untersuchung informieren. Sobald wir weitere Informationen erhalten werden wir diese Warnung schnellstmöglich aktualisieren und / oder erweitern.

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

SonicWall Security Advisory (Englisch):
https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430