{"id":316859,"date":"2025-10-12T00:00:51","date_gmt":"2025-10-11T22:00:51","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=316859"},"modified":"2025-10-12T23:09:21","modified_gmt":"2025-10-12T21:09:21","slug":"sonicwall-sslvpn-sicherheitsluecken-breit-ausgenutzt","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/10\/12\/sonicwall-sslvpn-sicherheitsluecken-breit-ausgenutzt\/","title":{"rendered":"SonicWall SSLVPN: Sicherheitsl\u00fccken breit ausgenutzt"},"content":{"rendered":"<p><img decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" title=\"Sicherheit (Pexels, allgemeine Nutzung)\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" alt=\"Sicherheit (Pexels, allgemeine Nutzung)\" width=\"200\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2025\/10\/12\/sonicwall-sslvpn-sicherheitslucken-breit-ausgenutzt\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Die Sicherheitsexperten von Huntress beobachten seit dem 4. Oktober 2025 einen sprunghaften Anstieg von kompromittierten SonicWall SSLVPN-Instanzen. Die Art der Angriffe und die Schnelligkeit, mit der die Angreifer in die Systeme eindringen, l\u00e4sst die Vermutung zu, dass diesen g\u00fcltige Anmeldedaten bekannt sind. <strong>Erg\u00e4nzung:<\/strong> Und es gibt eine beunruhigende Leser-Entdeckung, dass die Firewalls wohl \"eigenst\u00e4ndig\" Backups in der Cloud angelegt haben k\u00f6nnten.<\/p>\n<p><!--more--><\/p>\n<h2>Der Cloud-Backup-Vorfall<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/75f05250b0054b7ca50fb381ce9ff6b7\" alt=\"\" width=\"1\" height=\"1\" \/>K\u00fcrzlich gab es bei SonicWall einen Sicherheitsvorfall, bei dem Backup-Dateien der Firewall-Konfiguration offengelegt wurden. Unbefugte konnten diese Informationen per Internet einsehen.\u00a0SonicWall hatte den Vorfall am 17. September 2025 durch den Support-Beitrag <a href=\"https:\/\/www.sonicwall.com\/support\/knowledge-base\/mysonicwall-cloud-backup-file-incident\/250915160910330\" target=\"_blank\" rel=\"noopener\">MySonicWall Cloud Backup File Incident<\/a> offen gelegt. Ich hatte im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2025\/09\/17\/mysonicwall-cloud-backup-file-incident-backup-der-konfiguration-offen-gelegt\/\" rel=\"bookmark\">MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt<\/a> berichtet.<\/p>\n<p>Inzwischen ist bekannt, dass alle Kunden, die MySonicWall Cloud Backup genutzt haben, von diesem Vorfall betroffen sind (siehe <a href=\"https:\/\/borncity.com\/blog\/2025\/10\/10\/mysonicwall-cloud-backup-file-incident-alle-kunden-betroffen\/\" rel=\"bookmark\">MySonicWall Cloud Backup File Incident: Alle Kunden betroffen<\/a>). Zudem ist bekannt, dass die Ransomware-Gruppe Akira SonicWall VPN-Konto hackt und auch eine MFA-Absicherung umgehen kann (siehe <a href=\"https:\/\/borncity.com\/blog\/2025\/09\/29\/akira-hackt-sonicwall-vpn-konten-auch-mit-mfa-absicherung\/\" rel=\"bookmark\">Akira hackt SonicWall VPN-Konten (auch mit MFA-Absicherung)<\/a>). So viel als Vorbemerkung zu nachfolgenden Abschnitten.<\/p>\n<h2>Angriffe auf SonicWall SSLVPN-Instanzen<\/h2>\n<p>Sicherheitsanbieter Huntress beobachtet seit dem 4. Oktober 2025 eine Kampagne erfolgreicher Angriffe auf\u00a0SonicWall SSLVPN-Instanzen, die bis zum 10. Oktober 2025 anhielt. Das geht aus nachfolgendem <a href=\"https:\/\/x.com\/HuntressLabs\/status\/1976777719515079034\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> vom 11. Oktober 2025 hervor.<\/p>\n<p><a href=\"https:\/\/x.com\/HuntressLabs\/status\/1976777719515079034\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/dQXgpKQn\/image.png\" alt=\"Angriffe auf SonicWall SSLVPNs\" width=\"597\" height=\"607\" \/><\/a><\/p>\n<p>Die Angreifer authentifizieren sich schnell \u00fcber verschiedene Ger\u00e4te hinweg, wodurch Huntress schlie\u00dft, dass dabei g\u00fcltige Anmeldedaten verwendet werden und die Kompromittierung nicht auf Brute-Force-Angriffe zur\u00fcck geht.<\/p>\n<ul>\n<li>Bis zum 10. Oktober 2025 wurden \u00fcber 100+ SSLVPN-Konten kompromittiert.<\/li>\n<li>Es sind 16 Organisationen von diesen erfolgreichen Angriffen betroffen.<\/li>\n<li>Die Aktivit\u00e4ten begannen ab dem 4. Oktober 2025 von der IP: 202.155.8[.]73<\/li>\n<\/ul>\n<p>Es wurden teilweise passive Zugriffe beobachtet. Weitere Aktivit\u00e4ten der Aktivit\u00e4ten umfassten Scans und Zugriff auf Windows-Konten.<\/p>\n<h2>Was man tun sollte<\/h2>\n<p>Huntress gibt in nachfolgendem <a href=\"https:\/\/x.com\/HuntressLabs\/status\/1976777722920849784\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> einige Ratschl\u00e4ge, was Administratoren von SonicWall SSLVPN-Instanzen dringend tun sollten. Dazu geh\u00f6ren folgende Ma\u00dfnahmen:<\/p>\n<p><a href=\"https:\/\/x.com\/HuntressLabs\/status\/1976777722920849784\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/i.postimg.cc\/SKfJ1rWf\/image.png\" alt=\"Huntress zu SonicWall SSLVPN-Angriffen\" width=\"565\" height=\"800\" \/><\/a><\/p>\n<ul>\n<li>den WAN-\/Fernzugriff\u00a0 zu sperren<\/li>\n<li>SSLVPN, HTTP\/S, SSH bis zur Zur\u00fccksetzung der Anmeldedaten deaktivieren<\/li>\n<li>ALLE Anmeldedaten + Geheimnisse zur\u00fccksetzen<\/li>\n<li>Automatisierungsschl\u00fcssel, DNS- und SMTP-Anmeldedaten widerrufen<\/li>\n<li>MFA \u00fcberall durchsetzen<\/li>\n<\/ul>\n<p>Und vor allem sollten die Log-Dateien auf fremde Aktivit\u00e4ten untersucht werden. Huntress hat <a href=\"https:\/\/www.huntress.com\/blog\/sonicwall-sslvpn-compromise\" target=\"_blank\" rel=\"noopener\">diesen Beitra<\/a>g zum Thema ver\u00f6ffentlicht. Der <a href=\"https:\/\/www.pwndefend.com\/2025\/10\/11\/secure-firewall-backups-until-they-are-not\/\" target=\"_blank\" rel=\"noopener\">Artikel hier<\/a> greift den Gedanken, dass die Angreifer aus den Backups auf die Zugangsdaten schlie\u00dfen konnten und das nun missbrauchen, ebenfalls auf.<\/p>\n<h2>Noch eine Lesermeldung mit einer kruden Beobachtung<\/h2>\n<p><strong>Erg\u00e4nzung:<\/strong> Kurz nach Ver\u00f6ffentlichung des Beitrags hat sich ein Leser per Mail bei mir gemeldet und schrieb: \"zu dem Artikel m\u00f6chte ich noch einen Fakt loswerden, der mir gro\u00dfes Unbehagen bereitet\". Einer seiner Kunden ist direkt betroffen (bis hin zur Totalverschl\u00fcsselung, hei\u00dft es). Was dem Blog-Leser beim Einfallstor, also dem \"SonicWall-Backup-Desaster\" aufst\u00f6\u00dft ist folgendes:<\/p>\n<p>Bei SonicWall gibt es eine\u00a0Anleitung, um das Cloud Backup zu nutzen: \u00a0<a href=\"https:\/\/www.sonicwall.com\/support\/knowledge-base\/how-can-i-create-cloud-backup-of-sonicwall-settings\/170825122545895\" target=\"_blank\" rel=\"noopener\">How can I create cloud backup of SonicWall settings?<\/a> Der Leser schreibt dazu, dass bei den\u00a0meisten der Kunden, die das Unternehmen betreut, der Schalter zwar auf Aktiv gesetzt war. Es wurde aber nie ein aktives Backup eingerichtet (d.h. die Option <em>Create Backup -&gt; Cloud Backup <\/em>war niemals benutzt worden). Auch die lokale Web-Oberfl\u00e4che zeigte bei diesen Kunden\u00a0kein Backup an.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2025\/10\/SonicWall-Backup.jpg\" alt=\"SonicWall Portal mit Cloud-Backup\" width=\"556\" height=\"247\" \/><\/p>\n<p>Ein Blick ins MySonicwall-Portal und Blick auf das Ger\u00e4t unter dem Reiter <em>Cloud Backups<\/em> zeigen ein anderes Bild (siehe obigen Screenshot). Dort finden sich erstellte Backups der diversen Ger\u00e4te. Der Leser schrieb, dass diese Eintr\u00e4ge\u00a0durchweg bei allen Firewalls mit gleichem Datum auftauchen. Danach wurde nichts mehr in der Liste angezeigt.<\/p>\n<p>F\u00fcr den Leser bzw. dessen Arbeitgeber stellt sich nun uns die Frage, wenn kein Task eingerichtet ist, wie wurden scheinbar zentral alle SonicWall-Instanzen angewiesen, ein Backup zu erstellen und dies in die Cloud zu laden? Der Leser schlie\u00dft: Es bleibt aktuell ein Gef\u00fchl, das noch nicht alles offengelegt ist (wissentlich oder unwissentlich).<\/p>\n<h2>Was steckt im Backup?<\/h2>\n<p><strong>Erg\u00e4nzung 2:<\/strong> Ich habe keine Erfahrung, was im Backup abgelegt wird. Aber ich bin auf diesen <a href=\"https:\/\/www.heise.de\/forum\/p-45616994\/\" target=\"_blank\" rel=\"noopener\">Kommentar gesto\u00dfen<\/a><a href=\"https:\/\/www.heise.de\/forum\/p-45616994\/\">,<\/a> nach dem sich ein Backup auf einer anderen Firewall importieren l\u00e4sst. Danach k\u00f6nne man sich mit dem \"Standard-Passwort\" anmelden und die Konfiguration inspizieren. Zudem gibt es vermutlich die M\u00f6glichkeit, OTP Seeds und auch Passw\u00f6rter mit gen\u00fcgend Energie zu extrahieren.<\/p>\n<p><a href=\"https:\/\/x.com\/SecurityAura\/status\/1977049586729455768\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" class=\"\" src=\"https:\/\/i.postimg.cc\/cHzX53qj\/image.png\" alt=\"SonicWall Encoding\" width=\"528\" height=\"514\" \/><\/a><\/p>\n<p>Dann ist mir noch obiger <a href=\"https:\/\/x.com\/SecurityAura\/status\/1977049586729455768\" target=\"_blank\" rel=\"noopener\">Tweet<\/a> untergekommen, dass die Konfigurationsdatei mit Base64 encodiert ist. Die Geheimnisse sind aber individuell verschl\u00fcsselt, mit AES-256 oder 3DES, je nach SonicWall OS-Version.<\/p>\n<p><strong>\u00c4hnliche Artikel:<\/strong><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/09\/17\/mysonicwall-cloud-backup-file-incident-backup-der-konfiguration-offen-gelegt\/\" rel=\"bookmark\">MySonicWall Cloud Backup File Incident: Backup der Konfiguration offen gelegt<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/09\/29\/akira-hackt-sonicwall-vpn-konten-auch-mit-mfa-absicherung\/\" rel=\"bookmark\">Akira hackt SonicWall VPN-Konten (auch mit MFA-Absicherung)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/09\/24\/sonicwall-sma-100-firmware-update-um-rootkits-zu-entfernen\/\" rel=\"bookmark\">SonicWall SMA 100 Firmware-Update um Rootkits zu entfernen<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/08\/29\/vorzeitige-beendigung-des-supports-fuer-sonicwall-sma100\/\" rel=\"bookmark\">Vorzeitige Beendigung des Supports f\u00fcr SonicWall SMA 100<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2025\/10\/10\/mysonicwall-cloud-backup-file-incident-alle-kunden-betroffen\/\" rel=\"bookmark\">MySonicWall Cloud Backup File Incident: Alle Kunden betroffen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Die Sicherheitsexperten von Huntress beobachten seit dem 4. Oktober 2025 einen sprunghaften Anstieg von kompromittierten SonicWall SSLVPN-Instanzen. Die Art der Angriffe und die Schnelligkeit, mit der die Angreifer in die Systeme eindringen, l\u00e4sst die Vermutung zu, dass diesen g\u00fcltige Anmeldedaten &hellip; <a href=\"https:\/\/borncity.com\/blog\/2025\/10\/12\/sonicwall-sslvpn-sicherheitsluecken-breit-ausgenutzt\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[731,426,7459],"tags":[4328,3836,5596],"class_list":["post-316859","post","type-post","status-publish","format-standard","hentry","category-gerate","category-sicherheit","category-software","tag-sicherheit","tag-software","tag-sonicwall"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316859","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=316859"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/316859\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=316859"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=316859"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=316859"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}