Erhöhte Bedrohungsaktivität gegen SonicWall Gen 7 Firewalls mit SSLVPN - Sofortmaßnahmen empfohlen

05. August 2025

Beschreibung

SonicWall berichtet über eine deutliche Zunahme von Sicherheitsvorfällen in den letzten 96 Stunden, die Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN betreffen. Die Bedrohungsaktivität wurde sowohl intern als auch von externen Organisationen und Unternehmen wie Arctic Wolf, Google Mandiant und Huntress gemeldet. Es ist noch nicht geklärt, ob die Vorfälle mit einer bereits bekannten Schwachstelle in Verbindung stehen oder ob eine neue Schwachstelle verantwortlich ist.

CVE-Nummer(n): Noch nicht zugewiesen (Untersuchung läuft)

CVSS Base Score: Noch nicht bewertet

Auswirkungen

Die genauen Auswirkungen sind noch Gegenstand der Untersuchung. Betroffen sind Gen 7 SonicWall Firewalls mit aktiviertem SSLVPN. Die Bedrohungsaktivität könnte zu unbefugtem Zugriff auf Netzwerkinfrastruktur führen.

Betroffene Systeme

  • SonicWall Gen 7 Firewalls mit aktiviertem SSLVPN

Abhilfe

Die Untersuchung der Vorfälle ist noch nicht abgeschlossen und genaue technische Details liegen noch nicht vor. Für den Moment empfiehlt SonicWall dringend folgende Maßnahmen:

Primäre Maßnahme:

  • SSLVPN-Dienste deaktivieren (wo praktikabel)

Zusätzliche Schutzmaßnahmen (auch bei deaktiviertem SSLVPN):

  • SSLVPN-Konnektivität auf vertrauenswürdige Quell-IPs beschränken
  • Sicherheitsdienste aktivieren: Botnet-Schutz und Geo-IP-Filterung einschalten
  • Multi-Faktor-Authentifizierung (MFA) durchsetzen für alle Remote-Zugriffe
    • Hinweis: Einige Berichte deuten darauf hin, dass MFA allein möglicherweise nicht vor der untersuchten Aktivität schützt
  • Ungenutzte Benutzerkonten entfernen: Inaktive oder ungenutzte lokale Benutzerkonten auf der Firewall löschen, insbesondere solche mit SSLVPN-Zugriff

Hinweis

SonicWall arbeitet eng mit internationale Partner:innen zusammen und wird Partner:innen und Kund:innen kontinuierlich über den Fortschritt der Untersuchung informieren. Sobald wir weitere Informationen erhalten werden wir diese Warnung schnellstmöglich aktualisieren und / oder erweitern.

Generell empfiehlt CERT.at, sämtliche Software aktuell zu halten und dabei insbesondere auf automatische Updates zu setzen. Regelmäßige Neustarts stellen sicher, dass diese auch zeitnah aktiviert werden.

Informationsquelle(n):

SonicWall Security Advisory (Englisch):
https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430