Under Attack?
Hintergrund
SonicWall hat Kunden gewarnt, SSL-VPN-Dienste zu deaktivieren, da Ransomware-Gruppen derzeit eine unbekannte Sicherheitslücke in SonicWall-Firewalls der Generation 7 aktiv ausnutzen, um Netzwerke zu kompromittieren.
Dies stellt eine kritische und laufende Bedrohung dar.
Schwachstelle
Angriffsketten beginnen mit dem Eindringen in das SonicWall-Gerät, gefolgt von bekannten Post-Exploitation-Schritten: Aufzählung, Umgehung von Erkennung, laterale Bewegung und Diebstahl von Zugangsdaten.
Dabei schalten die Angreifer systematisch Microsoft Defender Antivirus aus und löschen Schattenkopien, bevor sie die Akira-Ransomware einsetzen.
Zur Aufklärung und Persistenz werden Tools wie AnyDesk, ScreenConnect oder SSH verwendet.
Die Aktivitäten betreffen offenbar nur SonicWall-Firewalls der Serien TZ und NSa mit aktiviertem SSL-VPN. Die Schwachstelle scheint in Firmware-Versionen 7.2.0-7015 und älter zu bestehen.
Empfehlungen
SonicWall wird Patches und weitere Empfehlungen veröffentlichen, sobald genauere Informationen vorliegen. In der Zwischenzeit sollten Organisationen, die Gen-7-Firewalls einsetzen, folgende Schritte unternehmen:
-
Deaktivieren Sie SSL VPN, wo möglich
-
Beschränken Sie den SSL VPN-Zugang auf vertrauenswürdige IP-Adressen
-
Aktivieren Sie Botnet-Schutz und Geo-IP-Filterung
-
Erzwingen Sie Multi-Faktor-Authentifizierung (MFA)
-
Entfernen Sie inaktive oder ungenutzte lokale Benutzer mit SSL VPN-Zugang
-
Fördern Sie regelmäßige Passwortänderungen
Wenn Sie vermuten, dass ein Gerät kompromittiert wurde, wenden Sie sich umgehend an das Incident Response-Team von Integrity360.
Weitere Informationen
Mehr zur Zero-Day-Schwachstelle hier:
https://www.huntress.com/blog/exploitation-of-sonicwall-vpn
Quellen
https://thehackernews.com/2025/08/sonicwall-investigating-potential-ssl.html
https://www.bleepingcomputer.com/news/security/sonicwall-urges-admins-to-disable-sslvpn-amid-rising-attacks/
Wenn Sie sich Sorgen über eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Bestimmung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oder kontaktieren Sie uns, um herauszufinden, wie Sie Ihr Unternehmen schützen können.
