In den Firewalls der SMA100-Serie von Sonicwall wird derzeit eine alte Sicherheitslücke aktiv angegriffen. Das hat die US-amerikanische IT-Sicherheitsbehörde CISA nun mitgeteilt und die Sicherheitslücke in den Known-Exploited-Vulnerabilities-Katalog aufgenommen.
Aber auch Sonicwall hat eine Sicherheitsmitteilung aktualisiert und räumt darin aktuell beobachtete Cyberangriffe ein. Ursprünglich wurde die Lücke im September 2021 bekannt. "Unzureichende Filterung von Elementen in der Verwaltungsoberfläche der SMA100-Baureihe ermöglicht angemeldeten Angreifern aus dem Netz, beliebige Befehle als User 'nobody' einzuschleusen, was möglicherweise zu einem Denial-of-Service führt", lautet die Schwachstellenbeschreibung des CVE-Eintrags CVE-2021-20035, damals mit CVSS 6.5 als Risikostufe "mittel" bewertet.
Nun findet sich bei Sonicwall der CVSS-Wert 7.2, die Lücke gilt demnach als Risiko-Stufe "hoch". Außerdem lautet die Beschreibung nun am Ende nicht mehr, dass Angreifer einen Denial-of-Service provozieren können, sondern als Auswirkung können sie tatsächlich offenbar Schadcode einschleusen und ausführen, wie die aktualisierte Mitteilung ausführt. Ergänzt hat Sonicwall zudem unter der Kommentar-Rubrik: "Diese Schwachstelle wird möglicherweise in freier Wildbahn missbraucht".
Aus der SMA100-Baureihe sind die Geräte SMA 200, 210, 400, 410 sowie 500v (sowohl für ESX, KVM, AWS und Azure) anfällig. Die Firmware-Versionen 10.2.1.1-19sv, 10.2.0.8-37sv sowie 9.0.0.11-31sv und jeweils neuere stopfen die missbrauchten Sicherheitslecks. IT-Verantwortliche sollten zügig die bereitstehenden Aktualisierungen anwenden.
Weder Sonicwall noch die CISA schreiben näher, wie die beobachteten (oder "möglichen") Angriffe aussehen und in welchem Umfang sie stattfinden. Es ist daher auch unklar, wie IT-Admins erkennen können, ob sie Angegriffen oder gar kompromittiert wurden.
Wer Sonicwall-Firewalls einsetzt, sollte mit der Installation bereitgestellter Updates nicht lange fackeln. Immer wieder nutzen Cyberkriminelle Sicherheitslücken in den Geräten aus, um sich unbefugt Zugriff auf Netze zu verschaffen. So wurde etwa Mitte Februar bekannt, dass Angreifer eine Schwachstelle in Sonicwall-Firewalls zum Kapern von VPN-Verbindungen missbraucht hatten.
(
Kommentare