[English]Blog-Leser Adrian hat mich gerade auf eine kritische Schwachstelle im Sonicwall Web-Management-Schnittstelle der Firewall hinwiesen (danke dafür). Die Schwachstelle betrifft sowohl physische als auch virtuelle Firewalls von SonicWall. Der Hersteller rät seinen Kunden dringend, den entsprechenden SonicOS-Patch sofort anzuwenden.
Anzeige
In einem Security Advisory vom 14. Juni 2021 weist SonicWall auf eine SonicOS-Schwachstelle in der Web-Management-Schnittstelle der Firewall hin. Der Hersteller schreibt dazu:
Physische und virtuelle Firewalls von SonicWall, auf denen bestimmte Versionen von SonicOS ausgeführt werden, enthalten möglicherweise eine Sicherheitslücke, die für einen nicht authentifizierten Denial-of-Service (DoS)-Angriff ausgenutzt werden kann, indem eine speziell gestaltete POST-Anfrage an die Weboberfläche gesendet wird.
Die Sicherheitsanfälligkeit erfordert, dass das Web-Management auf der WAN/LAN-Schnittstelle aktiviert ist, und setzt eine laufende aktive Management-Sitzung voraus. Beispielsweise ist ein Administrator bei der Weboberfläche angemeldet oder Global Management System (GMS) / Network Security Manager (NSM) sind für die Verwaltung der Firewall über HTTPS auf der WAN-Schnittstelle konfiguriert.
Andere GMS/NSM-Verwaltungsmodi, die im Folgenden aufgeführt sind, sind nicht betroffen, wenn die WAN-Verwaltung auf der Firewall deaktiviert ist. Das SSL-VPN-Portal auf der Firewall, Virtual Office, ist NICHT betroffen.
Derzeit gibt es keine Hinweise darauf, dass die entdeckte Sicherheitslücke in freier Wildbahn ausgenutzt wird. SonicWall rät seinen Kunden DRINGEND, den entsprechenden SonicOS-Patch sofort anzuwenden. Die Details zum Update finden sich in diesem Security Advisory.
Bis die im Supportbeitrag aufgeführten Patches eingespielt werden können, empfiehlt SonicWall dringend, dass Administratoren den SonicOS-Verwaltungszugriff auf vertrauenswürdige Quellen beschränken (und/oder den Verwaltungszugriff von nicht vertrauenswürdigen Internetquellen deaktivieren), indem sie die bestehenden SonicOS-Verwaltungszugriffsregeln (SSH/HTTPS/HTTP-Verwaltung) ändern. Dadurch wird nur der Management-Zugriff von vertrauenswürdigen Quell-IP-Adressen zugelassen.
Anzeige
Danke für den Hinweis.
Einige Jahre war gar nichts bei den Sonicwalls. In den letzten Monaten sind sie nun doch ab und zu mit Sicherheitslücken dabei.
Allerdings ist es wie gefühlt immer: man konfiguriert doch keinen Management-Zugang offen nach draußen. Macht man einfach nicht, egal wie sinnvoll die Ideen klingen, die dazu führen. Vor allem nicht, wenn die Dinger buchstäblich alles mitbringen, um sich als User nach drinnen zu verbinden und dann von drinnen zu managen.
War bei der SMA letztens ja auch so ein Korken, wo das Betreiben des Administrationszugangs auf dem selben, nach draußen offenen, Portal wie die VPN-Zugänge zu einem akuten Sicherheitsrisiko wurde.
Da werden jedes Mal unnötige, zusätzliche und selbst geschaffene strukturelle Sicherheitsrisiken zu akuten Sicherheitsgefahren. Muss man doch nicht so machen.
Vor allem, wenn das vom Hersteller schon im Handbuch gegenteilig empfohlen wird und das damit eine (eigentlich unnötige) Abweichung von den best practices ist.
Trotzdem waren die Jahre schöner, in denen die Sonicwalls in den Securitywarnungen quasi nichtexistenz waren.
"Trotzdem waren die Jahre schöner, in denen die Sonicwalls in den Securitywarnungen quasi nichtexistenz waren."
Naja, war ja auch gar nicht so trivial die einem breiteren Publikum anzudrehen. Die Sonicwalls, die ich kenne, setzten eine Aktivierung voraus und ließen sich auch nur an dem Anschluß nutzen, der zum ersten mal beim Einschalten verwendet worden ist. Umsiedeln oder woanders nutzen? Nur mit kostenpflichtigem Support.
Worauf ich hinaus will: Die meisten Unternehmen setzen auf externe IT-Systemhäuser für die Administration. Die werden dort rudimentär eingerichtet und dann "vergessen" (nur für die jährlichen Softwarelizenzen bemüht man sich, denn das bringt Kohle).
Richtige "Sicherheitsforscher" haben nur sehr begrenzt Zugriff auf die Produkte, darum wohl auch nur wenige Meldungen zu gefundenen Sicherheitslücken. Würde mich nicht wundern, wenn da noch richtige Batzen nicht entdeckt wurden.
"Die Sonicwalls, die ich kenne, setzten eine Aktivierung voraus und ließen sich auch nur an dem Anschluß nutzen, der zum ersten mal beim Einschalten verwendet worden ist."
Wann war denn das?
Ansonsten habe ich beruflich keinen Bedarf für "angedreht bekommen".
Was man braucht wird vollständig beschrieben, dann dürfen Firmen die passenden Produkte anbieten und der Zuschlag erfolgt nach transparenten, vorher feststehenden Regeln.
Nennt sich Ausschreibungen und funktioniert entgegen des allgemeinen Rufs ausgezeichnet. So kommt man halt auch zu eher unerwarteten Produkten, die zusammen mit dem vereinbarten straffen Support richtig gut funktionieren.
Ein weiterer Vorteil von Ausschreibungen: alle Preise werden transparent und ganz plötzlich wird offensichtlich, wie teuer so einige Lösungen wirklich sind.
Der Nachteil sind halt endlose "Diskussionen" mit Bietern, die einem die Welt erklären wollen und mit Tod und Teufel drohen, wenn man die Bedingungen nicht so ändert, dass das eigene Preismodell attraktiver wird oder unerwünschte Eigenschaften (z.B. Management über Cloud) jetzt erwünscht zu sein haben, weil man sonst gleich morgen gehackt wäre.
Beim Firewalling sind btw massig Anbieter rausgeflogen, darunter sehr teure, aber auch recht günstige Lösungen, weil versprochene Eigenschaften nicht nachgewiesen werden konnten oder nur irreführende Begriffsnutzung waren. Ich hatte ein Produkt im Test, das einer sehr renommierten Firma auf dem Weltmarkt entstammte, bei dem ich nach 20 Minuten den Test abbrach, weil die Übernahme einer Regel immer noch nicht quittiert war. Ich hätte länger warten sollen, das sei doch kein Kriterium uswusf..
Einmal umfassend Firewalling ausschreiben heißt Erlebnisse und Geschichten fürs Leben. Was sich da rumtreibt ist unglaublich. Und noch unglaublicher ist, wie sich die Leute die unglaublichsten Sachen noch irgendwie schön reden. Da war echt ein Gerät bei, das im Fehlerfall auf "einfach routen und alles durchlassen" schaltete, auch von einem namhaften Hersteller.
Und Dienstleister dazu, die sowas von… Ach lassen wir das.. :)
Der Sonicwall-Kram schlägt sich jedenfalls fast ein Jahrzehnt ganz ordentlich, wurde sauber konfiguriert und macht null Zicken bei uns.
Bei der nächsten Ausschreibung wird's vielleicht was anderes, aber niedrig liegt die Latte nicht.
2016, da war ich für ein Systemhaus tätig, welches im Auftrag für Kunden Produkte dieses Herstellers installiert und konfiguriert habe.
Aber ja, ich würde eher zu Sonic-Produkten greifen, als zu Cisco und Konsorten…
2016?
Da hatte ich mir die halbe Produktpalette schon Jahre vorher angeschaut und nichts gesehen, was eine von dir angegebene Anschlussbindung hätte sein könnte. Und ist mir zwischenzeitlich auch nicht untergekommen.
Vielleicht war das bei den Geräten für Partnerfirmen ja so. Oder ist mir nicht aufgefallen, weil ich ohne vollen Support mit entsprechender SLA sowieso nicht beschaffen würde.
Kennen tue ich eine Anschlussbindung schon, allerdings im positiven Sinne. Zuerst bei Lancom gehabt. Da konnte man die an den ISDN-Anschluss koppeln, so dass ein geklauter VPN-Router nicht zur Einwahl ins Netz genutzt werden konnte.
Und sowas geht mit diversen Geräten, heute aber eher nicht mehr über ISDN.
Also meine Meinung dazu ist: Menschen machen Fehler. Alle Menschen machen Fehler… Aber wenn dabei ein Mensch zu Tode kommt, ist Schluss mit lustig. Ist das Grundrecht auf informationelle Selbstbestimmung nicht (fast) gleichwertig? Wo sind die passenden Gerichtsprozesse? Wo sind die Security-Fachleute, die Patzerfirmen schlachten? Wo sind die Schadenersatzklagen? Nehmt ne frische Windel und geht wieder spielen, bis das erste Atomkraftwerk wegen Hacking explodiert… (Wesermünde oder Ibbenbühren böte sich an.)
Was willst du denn eigentlich sagen?
Dass Menschen zwar Fehler machen, aber für Fehler halt trotzdem geschlachtet werden sollen?
Und wen möchtest du eigentlich beleidigen, wenn du von frischen Windeln und spielen gehen redest?
Das Atomkraftwerk spielt hier aber hoffentlich gar keine Rolle, da keine Risikoanalyse zu dem Schluss kommen sollte, dass man sowas ans Netz hängen kann. Egal, wie gut die Firewalls sind…