Kritiek lek in SonicWall-gateway maakt remote code execution mogelijk
Een kritieke kwetsbaarheid in SMA 100-gateway van securitybedrijf SonicWall maakt remote code execution mogelijk. Het bedrijf heeft een update uitgebracht om het probleem te verhelpen. Daarnaast waarschuwt SonicWall voor aanvallers die persistent backdoor/user-mode rootkits op de apparaten installeren. Een week geleden kwam Google met een analyse van deze aanvallen.
Het beveiligingslek in SonicWall-firewalls (CVE-2025-40599) maakt het mogelijk voor geauthenticeerde aanvallers om willekeurige bestanden te uploaden, wat tot remote code execution kan leiden. Voorwaarde voor misbruik is dat aanvallers over administrator-rechten beschikken. De impact van de kwetsbaarheid is op een schaal van 1 tot en met 10 beoordeeld met een 9.1.
De vereiste om over administrator-rechten te beschikken blijkt in de praktijk geen barrière voor aanvallers. Vorige week kwam Google met een analyse waarin het waarschuwt voor een groep aanvallers die volledig gepatchte end-of-life SonicWall Secure Mobile Access (SMA) 100 appliances compromitteert. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen.
Volgens Google maken de aanvallers gebruik van inloggegevens en one-time password (OTP) seeds die bij eerdere aanvallen zijn buitgemaakt. Hierdoor kunnen ze toegang tot de apparaten behouden, ook wanneer organisaties beveiligingsupdates hebben geïnstalleerd. Vermoedelijk proberen de aanvallers uiteindelijk in gecompromitteerde omgevingen data te stelen en ransomware uit te rollen.
SonicWall zegt dat er geen aanwijzingen van misbruik van CVE-2025-40599 zijn, maar wijst klanten in het bijbehorende beveiligingsbulletin op Googles analyse. Daarnaast worden klanten met een SMA 100 opgeroepen om logbestanden te controleren en naar ongeautoriseerde toegang te kijken. In het geval klanten een SMA 500v hebben draaien wordt aangeraden de bestaande virtual machine te verwijderen.
Het patroon is pijnlijk duidelijk: oude appliances, end-of-life, credentials en OTP-seeds ooit buitgemaakt en nu gebruikt om persistentie te behouden. Voeg daar een uploadmogelijkheid bij voor willekeurige bestanden, en je hebt een recept voor user-mode rootkits. Met andere woorden: zelfs als je netjes patcht, zit je misschien nog steeds met een volledig gecompromitteerde omgeving.
Het feit dat aanvallers OTP-seeds hergebruiken laat zien dat MFA geen wondermiddel is als je seed-lijst ergens in een criminele database staat. En ja, dit gaat uiteindelijk over dataverlies en waarschijnlijk ransomware.
SonicWall zegt: “Geen misbruik bekend van deze specifieke CVE.” Prima, maar als je threat actor al een rootkit op je gateway zet, dan is wachten op misbruik niet echt een strategie.
De echte vraag: waarom draaien organisaties anno 2025 nog steeds op end-of-life appliances die fungeren als VPN-gateway? Als je security afhankelijk is van apparaten die geen updates meer krijgen, ben je niet compliant, je bent een statistiek in wording.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?