SonicWall under angreb

Eskil Sørensen
08.05.2025 15:34
Mistanke om 0-dagssårbarhed i SSL VPN i Gen 7-firewalls.

SonicWall undersøger pt. en række alvorlige cyberangreb mod deres Gen 7-firewalls, hvor SSL VPN-funktionaliteten ser ud til at være udnyttet – muligvis via en hidtil ukendt 0-dagssårbarhed.

Det skriver The Register, ligesom også Bleeping Computer har en omtale af sagen.

Af omtalen fremgår det, at flere sikkerhedsorganisationer, herunder Arctic Wolf, Google Mandiant og Huntress, har rapporteret om en bølge af ransomware-angreb, hvor SonicWall-enheder er blevet kompromitteret – tilsyneladende selv i miljøer med MFA aktiveret. Det tyder på, at angriberne har fundet en måde at omgå MFA og hurtigt eskalere deres adgang til domænekontrollere og andre centrale systemer.

Mistanke om 0-dagsudnyttelse 

SonicWall har endnu ikke bekræftet en ny sårbarhed, men samarbejder med eksterne partnere for at afklare, om der er tale om en tidligere kendt fejl eller en ny 0-dag, fremgår det. Indtil videre anbefaler SonicWall, at SSL VPN-funktionalitet deaktiveres, hvor det er muligt, og at følgende tiltag implementeres:

  • Begræns SSL VPN-adgang til betroede IP-adresser
  • Aktivér sikkerhedstjenester som botnetbeskyttelse og geo-IP-filtrering
  • Fjern inaktive eller ubrugte brugerkonti
  • Styrk passwordhygiejne
  • Håndhæv MFA for al fjernadgang

Dog advares der om, at MFA alene ikke nødvendigvis beskytter mod den aktuelle trussel.

Hurtig eskalering og ransomware

Ifølge Huntress og Arctic Wolf sker kompromitteringen hurtigt – ofte inden for få timer – og inkluderer credential harvesting, deaktivering af sikkerhedsværktøjer og udrulning af ransomware, herunder Akira. Denne ransomwarevariant var blandt de mest rapporterede af FBI i 2024 og har tidligere udnyttet kritiske SonicWall-sårbarheder.

Google har desuden observeret udnyttelse af fuldt opdaterede og end-of-life SonicWall-enheder til at installere en ny type backdoor og rootkit, kaldet OVERSTEP, hvilket indikerer en avanceret og målrettet kampagne.

SonicWall har givet udtryk for at der udgives firmwareopdateringer og yderligere vejledning, så snart der er klarhed over sårbarheden.

Læs mere

Sårbarhed