Gefahr für Cloud-Backups Sonicwall-Konten mit gestohlenen Zugangsdaten kompromittiert

Anbieter zum Thema

sysob IT-Distribution GmbH & Co. KG

Fsas Technologies GmbH

FTAPI Software GmbH

Cyberkriminelle nutzen gestohlene Zugangsdaten für Angriffe auf Sonicwall-SSLVPNs. Parallel wurden Cloud-Backups von Firewalls kompromittiert, die im Mysonicwall-Kundenportal gespeichert sind. Für Nutzer ist äußerste Vorsicht geboten.

Seit dem 10. Oktober 2025 beobachteten Sicherheitsforscher von Huntress sogenannte SSLVPN-Angriffe auf Sonicwall-Kunden. Wie der SOC-Anbieter erläutert, begann ein Großteil der Angriffe bereits am 4. Oktober. Dabei hätten sich Cyberkriminelle mithilfe von gestohlenen, gültigen Anmeldeinformationen bei mehreren Sonicwall-Konten auf kompromittierten Geräten über die SSLVPN-Schnittestelle anmelden können.

Mithilfe alter Sicherheitslücke

Akira-Ransomware greift Sonicwall-Geräte an

Angriffe auf Cloud-Backups in Mysonicwall-Konten

Bisher seinen bereits über 100 Sonicwall-SSLVPN-Konten bei 16 Kunden betroffen. In den von Huntress beobachteten Fällen seien die Authentifizierungen auf den Geräten von der Adresse „202.155.8[.]73“ erfolgt. In einigen Fällen hätten die Akteure keine weiteren Angriffe im Netzwerk ihrer Opfer gestartet, sondern hätten bereits nach kurzer Zeit die Verbindung getrennt. In anderen Fällen, die Huntress beobachtete, hätten die Angreifer Netzwerscans durchgeführt und versucht, auf lokale Windows-Konten zuzugreifen.

Interessanterweise fanden die Analysten von Huntress keine Hinweise darauf, dass diese Angriffskampagne mit der Sicherheitsverletzung zusammenhängt, die Sonicwall ein paar Tage zuvor bestätigt hatte. Dabei führten Cyberkriminelle eine Reihe von Brute-Force-Angriffen auf das Kundenportal „MySonicWall.com“ durch und konnten auf Backup-Dateien der Firewall-Konfigurationen zugreifen. Das Portal dient der Verwaltung von Produktzugriffen, Lizenzierung, Firware-Updates, Firewall-Konfigurationen sowie Cloud-Backups. Die Forscher von Huntress würden die Vorfälle jedoch weiterhin auf mögliche Zusammenhänge beobachten.

Advens Threat Status Report

Neue Tricks beim Diebstahl von Zugangsdaten

Betroffene Sonicwall-Produkte und Sicherheitsmaßnahmen

Da die offengelegten Dateien Anmeldeinformationen und Konfigurationsdaten enthalten, sollten betroffene Sonicwall-Kunden schnellstmöglich ihre Credentials zurücksetzen und dabei solchen Firewalls, die mit dem Internet verbunden sind, Priorität einräumen. Zwar seien die Dateien mit AES-256 verschlüsselt, doch das Risiko gezielter Angriffe steigt natürlich, wenn ein böswilliger Akteur die Anmeldedaten erlangt.

Um zu prüfen, ob man von dem Sicherheitsvorfall betroffen ist, müssen folgende Schritte ausgeführt werden:

• 1. Melden Sie sich bei Ihrem Mysonicwall.com-Konto an und prüfen Sie, ob Cloud-Backups für Ihre registrierten Firewalls vorhanden sind.

• 2. Wenn Sie Sonicwall Unified Management (SonicPlatform) nutzen und Probleme beim Zugriff auf Mysonicwall.com haben, klicken Sie nach der Anmeldung auf „Abbrechen“, falls Sie zur SonicPlatform weitergeleitet werden möchten.

• 3. Sind die Felder unter dem Menüpunkt „Cloud Backups“ leer, sind Sie nicht von dem Datenleck betroffen.

• 4. Enthalten die Felder unter dem Menüpunkt „Cloud Backups“ Backup-Details, überprüfen Sie, ob betroffene Seriennummern in Ihrem Konto aufgeführt sind. Dies sehen Sie, indem Sie nach der Anmeldung zu „Product Management“ und dann zu „Issue List“ navigieren. Die betroffenen Seriennummern werden mit Informationen wie Anzeigename, Datum des letzten Downloads und bekannten betroffenen Diensten gekennzeichnet.

• 5. Werden dort betroffene Seriennummern angezeigt, sind die aufgeführten Firewalls gefährdet. Dann sollten Sie die folgenden Richtlinien zur Eindämmung und Behebung befolgen.

Der Hersteller empfiehlt betroffenen Kunden folgende Maßnahmen zur Eindämmung der Bedrohung:

• Deaktivieren oder beschränken Sie den Zugriff auf Dienste aus dem WAN.

• Deaktivieren oder beschränken Sie den Zugriff auf HTTP/HTTPS und SSH-Management über das WAN.

• Deaktivieren oder beschränken Sie den Zugriff auf SSL VPN, IPSEC VPN und SNMP, bis die folgenden Maßnahmen abgeschlossen sind.

• Deaktivieren oder beschränken Sie den eingehenden WAN-Zugriff auf interne Dienste, die über NAT/Zugriffsregeln zugelassen sind.

Sonicwall betont, dass es wichtig sei, die Eindämmungsaßnahmen abzuschließen, bevor betroffene Kunden mit den Behebungsschritten fortfahren. Zudem gibt der Hersteller den Tipp, dass die Versionen des Firewall-Betriebssystems SonicOS 6.5.5.1 und 7.3.0 Verbesserungen enthalten, die es Administratoren ermöglichen, den Zugriff auf ein Benutzerkonto bis zur Kennwortänderung einzuschränken. So werde sichergestellt, dass User ihr Kennwort bei Bedarf innerhalb des Perimeters ändern können. Fehle diese Funktion, sei die Deaktivierung oder Einschränkung des Zugriffs aus dem WAN die effektivste Lösung. Die Deaktivierung oder Einschränkung des eingehenden Zugriffs aus dem WAN auf interne Dienste verhindere, dass Angreifer erneut Zugriff auf potenziell kompromittierte Systeme erhalten.

Weitere Empfehlungen erhalten Sonicwall-Kunden in einem Remediation Playbook, welches verschiende Szenarien und Fälle erläutert. Sonicwall gab an, dass etwa fünf Prozent seiner Firewall-Kunden den Cloud-Backup-Dienst nutzen und somit möglicherweise gefährdet sind.

Remote ausnutzbar

Sicherheitslücke in SonicOS legt Firewalls lahm

(ID:50544090)