Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.
Categories
Tags
Authors
Teams
Archives
Categories:   All Categories
Suggested keywords
x
  Drucken

Attacken auf SonicWall-Firewalls: Akira-Ransomware trotzt MFA

112 Aufrufe

Im Zuge aktueller Attacken schieben Angreifer den Erpressungstrojaner Akira auf SonicWall-Firewalls. Dabei lassen sie sich nicht durch Multi-Faktor-Authentifizierung (MFA) aufhalten. Wie sie auf damit geschützte Systeme zugreifen können, ist bis jetzt nicht geklärt.

Sicherheitsforscher von Artic Wolf haben ihre aktuellen Kenntnisse in einem Beitrag zusammengefasst. Die Attacken laufen schon seit August dieses Jahres und sie kochen seitdem immer wieder hoch. Ansatzpunkt ist eine "kritische" Sicherheitslücke (CVE-2024-40766) in der SSL-VPN-Komponente, die die in einer Warnmeldung des Herstellers aufgelisteten Firewalls der Gen-5-, Gen-6- und Gen-7-Serie betrifft.

SonicWall versichert, dass die Ausgaben 5.9.2.14-13o, 6.5.2.8-2n (für SM9800, NSsp 12400, NSsp 12800), 6.5.4.15.116n (für andere Gen6-Firewall-Appliances) und 7.0.1-5035 abgesichert sind. Aber offensichtlich haben Admins die Sicherheitsupdates weiterhin nicht flächendeckend installiert, sodass Angreifer nach wie vor verwundbare Instanzen entdecken.

Neben der Installation der Patches rät SonicWall dazu, Geräte außerdem mit MFA abzusichern. Zusätzlich zum Passwort benötigt man zum Einloggen noch ein One-Time-Password (OTP), das in der Regel durch eine Authenticator-App erzeugt wird. Nun führen die Sicherheitsforscher aus, dass die Angreifer Firewalls trotz aktiver MFA erfolgreich attackieren.

Zum jetzigen Zeitpunkt können sie sich nicht erklären, wie das vonstattengeht. In ihrem Bericht verweisen sie auf einen ähnlichen Vorfall, den die Google Threat Intelligence Group analysiert hat. In diesem Fall kommen sie zu dem Schluss, dass die Täter mit hoher Wahrscheinlichkeit im Besitz des Secrets sind, um selbst gültige OTPs zu erstellen.

Weil Artic Wolf eigenen Angaben zufolge keine Hinweise auf etwa Konfigurationsänderungen entdeckt hat, liegt es nahe, dass die Angreifer im aktuellen Fall sich ebenfalls auf eigene Faust gültige OTPs ausstellen. Bestätigt ist das aber bislang nicht.

Admins sollten dringend die Sicherheitsupdates installieren. Außerdem sollten sie nach verdächtigen Accounts Ausschau halten und Zugangsdaten aus Sicherheitsgründen zurücksetzen.

Jetzt heise Security Pro entdecken

Jetzt heise Security Pro entdecken

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Dieser Link ist leider nicht mehr gültig. Links zu verschenkten Artikeln werden ungültig, wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden. Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung! Wochenpass bestellen

Sie haben heise+ bereits abonniert? Hier anmelden.

Oder benötigen Sie mehr Informationen zum heise+ Abo

(Ursprünglich geschrieben von Heise)
0
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

"Darknet Diaries Deutsch": Der Mann, der WannaCry ...
Abhör-App Neon verriet alles: Offline

Über den Autor

comadmin

comadmin

Updates abonnieren Abo von Updates dieses Autors beenden comadmin
Neueste Beiträge des Autors
Mehr Beiträge vom Autor
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Freitag, 31. Oktober 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Comretix GmbH Logo
ImpressumAGBDisclaimerDatenschutzerklärung