{"id":314297,"date":"2025-08-07T00:06:12","date_gmt":"2025-08-06T22:06:12","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=314297"},"modified":"2025-08-08T00:02:07","modified_gmt":"2025-08-07T22:02:07","slug":"warnung-vor-angriffen-auf-sonicwall-firewalls","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/08\/07\/warnung-vor-angriffen-auf-sonicwall-firewalls\/","title":{"rendered":"Warnung vor Angriffen auf SonicWall Firewalls (SSL-VPNs)"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Jemand unter der Blog-Leserschaft, der auf SonicWall setzt. Seit Tagen gibt es Berichte, dass Angriffe auf SonicWall Firewalls beobachtet werden. Es scheint sich auf die SSL VPN-Funktion der Gen 7 SonicWall Firewalls zu beziehen. Unklar ist, ob eine unbekannte Schwachstelle ausgenutzt werden soll.<\/p>\n

<\/p>\n

Eine alte Meldung zur SonicWall SMA 100<\/span><\/h2>\n

Ich hatte es nicht im Blog, aber bereits Mitte Juli 2025 kam mir die Mandiant-Warnung aus nachfolgendem Tweet auf den Tisch.<\/p>\n

\"Mandiant-Warnung<\/p>\n

Ein finanziell motivierter Bedrohungsakteur mit der Bezeichnung UNC6148 greift vollst\u00e4ndig gepatchte, aber aus dem Support gefallene SonicWall SMA 100 Appliances an. Es werde eine neue,\u00a0persistente Backdoor (OVERSTEP) installiert. Details finden sich im Beitrag\u00a0Ongoing SonicWall Secure Mobile Access (SMA) Exploitation Campaign using the OVERSTEP Backdoor<\/a>.<\/p>\n

Artic Wolf warnt vor Angriffen auf SonicWall SSL-VPNs<\/h2>\n

Ein Leser hat mich inzwischen ebenfalls per E-Mail mit dem Betreff Gen 7 SonicWall Firewalls \u2013 SSLVPN Recent Threat Activity<\/em> auf eine weitere Warnung hingewiesen. Sicherheitsanbieter Artic Wolf hat zum 1. August 2025 im Beitrag Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN \u2013 Copy<\/a> eine Warnung ausgesprochen.<\/p>\n

Arctic Wolf beobachtet seit Ende Juli 2025 eine Zunahme von Ransomware-Aktivit\u00e4ten (genannt wird Akira), die auf SonicWall-Firewall-Ger\u00e4te als ersten Zugang abzielen.\u00a0Bei den untersuchten Angriffen wurden innerhalb kurzer Zeit mehrere Vorf\u00e4lle beobachtet, wo vor dem Einsatz von Ransomware jeweils erfolgreiche Angriffe mit Zugriff \u00fcber SonicWall SSL-VPNs auf das VPN stattfanden. Auch hier wurde der kurze Zeitraum zwischen Zugriffen auf SonicWall SSL-VPNs und der Verschl\u00fcsselung durch die Ransomware erw\u00e4hnt.<\/p>\n

Derzeit kann zwar noch kein Zugriff auf Anmeldedaten der SonicWall SSL-VPNs\u00a0durch Brute-Force-Angriffe, W\u00f6rterbuchangriffe und Credential Stuffing in allen F\u00e4llen endg\u00fcltig ausgeschlossen werden. Artic Wolf schreibt aber, dass die verf\u00fcgbaren Beweise auf das Vorhandensein einer Zero-Day-Sicherheitsl\u00fccke hindeuten.<\/p>\n

In einigen F\u00e4llen waren vollst\u00e4ndig gepatchte SonicWall-Ger\u00e4te nach einer \u00c4nderung der Anmeldedaten betroffen. Trotz aktivierter TOTP-MFA wurden in einigen F\u00e4llen dennoch Konten kompromittiert. Arctic Wolf Labs untersucht derzeit diese Kampagne und wird weitere Details bekannt geben, sobald diese verf\u00fcgbar sind.<\/p>\n

Empfehlung SonicWall SSL-VPNs deaktivieren<\/h3>\n

Artic Wolf empfiehlt Unternehmen, angesichts der hohen Wahrscheinlichkeit einer Zero-Day-Sicherheitsl\u00fccke, zu erw\u00e4gen, den SonicWall SSL VPN-Dienst zu deaktivieren, bis ein Patch verf\u00fcgbar ist und bereitgestellt wird.<\/p>\n

Weitere Warnung, Stellungnahme von SonicWall<\/h2>\n

Auch von Huntress gab es diese Warnung<\/a>, dass SonicWall VPNs aktiv angegriffen werden. In diesem Tweet<\/a> berichten die von Angriffen.\u00a0 Inzwischen hat SonicWall diese Stellungnahme<\/a> ver\u00f6ffentlicht, die besagt, dass es kein 0-Day-Exploit ist, der f\u00fcr Angriffe benutzt wird.<\/p>\n

Stattdessen bestehe ein signifikanter Zusammenhang mit Bedrohungsaktivit\u00e4ten im Zusammenhang mit CVE-2024-40766<\/a>, die bereits in \u00a0SNWLID-2024-001<\/a> offengelegt und dokumentiert wurde.<\/p>\n

Viele der derzeit im Zusammenhang mit dieser Cyberaktivit\u00e4t untersuchen (weniger als 40) Vorf\u00e4lle stehen im Zusammenhang mit der Migration von Firewalls der Generation 6 auf Firewalls der Generation 7, bei der lokale Benutzerkennw\u00f6rter w\u00e4hrend der Migration \u00fcbernommen und nicht zur\u00fcckgesetzt wurden, schreibt der Hersteller. Das Zur\u00fccksetzen von Kennw\u00f6rtern war ein wichtiger Schritt, der in der urspr\u00fcnglichen Empfehlung beschrieben wurde.<\/p>\n

SonicOS 7.3 bietet laut SonicWall zus\u00e4tzlichen Schutz vor Brute-Force-Passwort- und MFA-Angriffen. Ohne diese zus\u00e4tzlichen Schutzma\u00dfnahmen sind Brute-Force-Angriffe auf Passw\u00f6rter und MFA leichter durchf\u00fchrbar. Der Hersteller empfiehlt das Update<\/a> der betroffenen SonicWall Firewall-Appliances samt dem Zur\u00fccksetzen der Kennw\u00f6rter.<\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Jemand unter der Blog-Leserschaft, der auf SonicWall setzt. Seit Tagen gibt es Berichte, dass Angriffe auf SonicWall Firewalls beobachtet werden. Es scheint sich auf die SSL VPN-Funktion der Gen 7 SonicWall Firewalls zu beziehen. Unklar ist, ob eine unbekannte Schwachstelle … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[2712,4328,5596],"class_list":["post-314297","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-firewall","tag-sicherheit","tag-sonicwall"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314297","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=314297"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/314297\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=314297"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=314297"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=314297"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}