Das SonicWall-Netzwerk wurde in seiner Lösung für sicheren Zugriff über Zero Day angegriffen
Das Cybersicherheitsunternehmen SonicWall gab am Freitagabend bekannt, dass Hacker die internen Netzwerke des Unternehmens angegriffen haben, indem sie zunächst eine Zero-Day-Sicherheitsanfälligkeit in ihren eigenen sicheren RAS-Produkten ausgenutzt haben.
SonicWall kündigte den Hack an, nachdem SC Media ihn wegen eines anonymen Hinweises kontaktiert hatte, dass die Systeme des Unternehmens einen schwerwiegenden Verstoß erlitten hatten. Das Unternehmen antwortete nicht, gab jedoch später am Abend eine formelle Ankündigung heraus.
SonicWall, dessen Produktlinie Firewalls umfasst; Netzwerksicherheits- und Zugangslösungen; E-Mail-, Cloud- und Endpoint-Sicherheitslösungen bestätigten, dass ein Vorfall in einer Unternehmenserklärung am späten Abend stattgefunden hat.
WEITERLESEN 2021 STRATEGIEVORHERSAGEN: VERSCHIEBUNGEN IN GESCHÄFTSMODELLEN
„Vor kurzem hat SonicWall einen koordinierten Angriff auf seine internen Systeme durch hochentwickelte Bedrohungsakteure identifiziert, die wahrscheinliche Zero-Day-Schwachstellen für bestimmte sichere SonicWall-RAS-Produkte ausnutzen“, heißt es in der Erklärung.
Das Unternehmen untersucht das offensichtliche Vorhandensein einer Zero-Day-Sicherheitsanfälligkeit in seiner Secure Mobile Access (SMA) 100-Serie. In einer frühen Version der Erklärung verwies das Unternehmen speziell auf SMA Version 10.x, die auf physischen SMA 200-, SMA 210-, SMA 400-, SMA 410-Appliances und der virtuellen SMA 500v-Appliance ausgeführt wird.
In Verbindung mit dem NetExtender VPN-Client von SonicWall werden die SMB-orientierten SMA-Gateways „verwendet, um Mitarbeitern / Benutzern den Fernzugriff auf interne Ressourcen zu ermöglichen“, heißt es in der Erklärung.
Ursprünglich hatte SonicWall auch angegeben, dass der NetExtender VPN-Client Version 10.x (veröffentlicht im Jahr 2020), der für die Verbindung mit Appliances der SMA 100-Serie und SonicWall-Firewalls verwendet wird, ebenfalls anfällig ist. Das Unternehmen hat diese Aussage jedoch in einem am Samstagabend veröffentlichten Update zurückgezogen .
SonicWall stellte fest, dass Kunden NetExtender möglicherweise weiterhin für den Remotezugriff mit der SMA 100-Serie verwenden.
„Wir haben festgestellt, dass dieser Anwendungsfall nicht ausgenutzt werden kann“, heißt es in der aktualisierten Erklärung. Das Unternehmen empfahl jedoch Administratoren der SMA 100-Serie, „bestimmte Zugriffsregeln zu erstellen oder den Administratorzugriff von Virtual Office und HTTPS über das Internet zu deaktivieren, während wir die Sicherheitsanfälligkeit weiter untersuchen“.
Jeder SonicWall-Kunde, der die betroffenen Lösungen verwendet, ist anfällig für Zero-Day-Fehler. Das Unternehmen hat daher eine Webseite eingerichtet, auf der Channel-Partnern und Kunden Richtlinien zur Schadensbegrenzung bereitgestellt werden.
Zu den Empfehlungen gehören: „Verwenden Sie eine Firewall, um nur SSL-VPN-Verbindungen zur SMA-Appliance von bekannten IP-Adressen / IP-Adressen auf der Whitelist zuzulassen“ oder „Konfigurieren Sie den Whitelist-Zugriff auf der SMA direkt selbst“.
SonicWall hat Benutzern außerdem empfohlen, die Multi-Faktor-Authentifizierung für alle SonicWall SMA-, Firewall- und MySonicWall-Konten zu aktivieren.
SonicWall hat außerdem berichtet, dass die SonicWall-Firewalls nicht betroffen sind und auch die SMA 1000-Serie oder die SonicWall SonicWave-APs (Access Points) nicht betroffen sind.
Im September 2020 wurde SonicWall kritisiert, dass das Patchen einer Sicherheitsanfälligkeit, von der rund 10 Millionen verwaltete Geräte und 500.000 Organisationen betroffen waren, mehr als zwei Wochen dauerte. SonicWall entgegnete damals, dass das Unternehmen umgehend reagiert habe und keine Sicherheitslücken ausgenutzt worden seien.