SonicWall: recente SSLVPN-aanvallen zeer waarschijnlijk geen zeroday
Bij recente aanvallen op SonicWall-firewalls is zeer waarschijnlijk geen gebruikgemaakt van een zerodaylek, zo laat SonicWall zelf weten. Het securitybedrijf denkt dat de aanvallen samenhangen met een kwetsbaarheid aangeduid als CVE-2024-40766, waar eind augustus vorig jaar een patch en aanvullende instructies voor verschenen. De afgelopen dagen waarschuwden verschillende securitybedrijven voor een mogelijk zerodaylek in de firewalls van SonicWall.
De mogelijke kwetsbaarheid zou aanwezig zijn in het SSLVPN-onderdeel van de firewall, dat organisaties gebruiken om medewerkers toegang tot interne netwerken en applicaties te geven. Naar aanleiding van de waarschuwingen van de securitybedrijven kwam SonicWall op maandag 4 augustus met de oproep aan klanten om de SSLVPN-functie op de firewalls uit te schakelen.
In een update van het eerder gegeven beveiligingsadvies stelt SonicWall dat het minder dan veertig getroffen organisaties onderzoekt. Op basis van de onderzoeken denkt het securitybedrijf dat er geen zerodaylek is gebruikt, maar dat de waargenomen aanvallen samenhangen met beveiligingslek CVE-2024-40766 en het niet opvolgen van advies in het beveiligingsbulletin.
Advies om wachtwoorden te resetten
Op 22 augustus 2024 kwam SonicWall met een beveiligingsupdate voor een kritieke kwetsbaarheid (CVE-2024-40766) in de generatie 5, 6 en 7 firewalls die het biedt. Via het beveiligingslek kan een aanvaller toegang tot de firewall krijgen. Twee weken nadat het beveiligingsbulletin verscheen liet SonicWall weten dat aanvallers actief misbruik van het lek maakten. Zo werd de kwetsbaarheid ingezet bij ransomware-aanvallen.Vorige week waarschuwden verschillende securitybedrijven voor ransomware-aanvallen waarbij SonicWall-firewalls, die volledig up-to-date waren, als springplank naar het achterliggende netwerk werden gebruikt. Onderzoekers dachten aan een zerodaylek, een onbekende kwetsbaarheid waar op het moment van misbruik geen informatie over beschikbaar is. Volgens SonicWall is er zeer waarschijnlijk geen sprake van een zeroday, maar hebben getroffen organisaties het advies uit het beveiligingsbulletin niet gevolgd.
Bij het uitkomen van de patches vorig jaar augustus kregen organisaties die met een generatie 5 of 6 firewall werkten het advies om wachtwoorden van lokaal beheerde SSLVPN-accounts meteen te veranderen en multifactorauthenticatie in te schakelen. "Veel van de onderzochte incidenten hadden te maken met migraties van generatie 6 naar generatie 7 firewalls, waar lokale gebruikerswachtwoorden tijdens de migratie werden overgezet en niet gereset. Het resetten van wachtwoorden was een belangrijke stap zoals beschreven in de originele advisory", aldus SonicWall. Dat roept klanten op die een generatie 6 firewall-configuratie hebben geïmporteerd om alsnog lokale gebruikerswachtwoorden te resetten.
SonicWall stelt dat de aanvallen niet het gevolg zijn van een onbekend lek, maar van het ouderwetse “u had alleen maar het wachtwoord moeten resetten en MFA aanzetten”. Zo simpel is het dus. De beveiligingsadviesversie van: “Heeft u al geprobeerd hem uit en weer aan te zetten?”
Dat minder dan veertig organisaties slachtoffer zijn geworden, klinkt geruststellend… totdat je beseft dat die firewalls precies bedoeld zijn om ransomware buiten de deur te houden, en nu vrolijk zelf de deur openzetten voor een digitaal housewarming-feestje.
Ook fijn: bij migratie van generatie 6 naar 7 firewalls zijn de oude wachtwoorden gewoon meegenomen — inclusief alle zwakheden en verouderde praktijken. Een soort digitale erfenis, maar dan zonder testament.
SonicWall: "We hebben het allemaal netjes opgeschreven in ons beveiligingsbulletin!"
Beheerders wereldwijd: "Welk bulletin?"
De firewalls doen het nog prima — zolang je ze configureert alsof je in 2025 leeft, en niet in 2009. Maar ja, daar heb je wél gebruikers voor nodig die hun wachtwoorden daadwerkelijk veranderen en MFA niet verwarren met een nieuwe hippe afkorting in Teams.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?