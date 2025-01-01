Nieuws
Duizenden SonicWall-appliances missen update voor buffer overflows

vrijdag 8 augustus 2025, 12:15 door Redactie, 1 reacties

Duizenden appliances van SonicWall, waarvan zo'n honderd in Nederland, missen een beveiligingsupdate voor verschillende kwetsbaarheden die tot buffer overflows kunnen leiden en het mogelijk voor ongeauthenticeerde aanvallers maken om een denial of service te veroorzaken of code uit te voeren. Dat laat The Shadowserver Foundation op basis van eigen onderzoek weten. Uitgebreide technische details over de kwetsbaarheden zijn openbaar.

De problemen zijn aanwezig in de SonicWall Secure Mobile Access (SMA) 100 series appliances. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Op 23 juli kwam SonicWall met een beveiligingsupdate voor twee buffer overflows en een cross-site scripting-lek in de SMA 100. De problemen (CVE-2025-40596, CVE-2025-40597 en CVE-2025-40598) zijn aanwezig in de webinterface van de SMA 100 en kunnen in het ergste geval leiden tot het uitvoeren van code door een ongeauthenticeerde aanvaller.

SonicWall heeft klanten opgeroepen om de beveiligingsupdate te installeren. Het securitybedrijf stelde ook dat het niet bekend is met misbruik van de problemen. Op 28 juli maakte securitybedrijf watchTowr details over de kwetsbaarheden bekend. The Shadowserver Foundation, een stichting die onderzoek naar kwetsbare systemen op internet doet, voerde een scan uit naar SonicWall-appliances die de update missen. Dit leverde minstens 3200 ip-adressen op, waarvan zo'n honderd in Nederland. Kwetsbaarheden in de SMA 100 zijn in het verleden geregeld gebruikt bij aanvallen, waaronder voor de verspreiding van ransomware.

Vandaag, 12:17 door The-Real-C
Dat er anno 2025 nog duizenden SonicWall SMA 100-appliances publiekelijk kwetsbaar zijn voor ongeauthenticeerde RCE en DoS-aanvallen is al zorgelijk genoeg. Maar wat het nog schrijnender maakt: de technische details van de kwetsbaarheden zijn inmiddels gewoon openbaar, de patch is al weken beschikbaar, en toch hangen deze apparaten nog onbeschermd aan het internet.

We hebben het hier niet over obscure developer machines, maar over gateways die expliciet bedoeld zijn om medewerkers externe toegang tot bedrijfsnetwerken te geven — oftewel, direct toegang tot de kroonjuwelen. En dan laten beheerders daar buffer overflows in de webinterface openstaan, alsof dat niet de eerste plek is waar elke scanner op afduikt zodra een PoC op GitHub verschijnt.

SonicWall zegt zelf dat er geen misbruik bekend is, maar dat is eerder geruststelling uit automatisme dan een garantie. Zeker omdat deze appliances in het verleden al vaker doelwit waren van ransomwaregroepen. Combineer dat met het feit dat Shadowserver nu 3200 kwetsbare installaties detecteert, en je hebt de perfecte storm voor de volgende golf van aanvallen.

Als je SMA 100 draait en je patcht niet binnen dagen na het uitkomen van dit soort updates, dan fungeer je in feite als publiek eigendom. Dat er in Nederland nog zo'n honderd van deze dingen kwetsbaar openstaan is geen kwestie van "nog niet aan toegekomen" — het is nalatigheid met mogelijk grote gevolgen.
