image

'Gehackte SonicWall-gateways gebruikt als backdoor tot bedrijfsnetwerken'

donderdag 16 juli 2026, 16:39 door Redactie, 0 reacties

Aanvallers gebruiken gehackte SonicWall-gateways als backdoor tot bedrijfsnetwerken, zo stelt cybersecuritybedrijf Rapid7 in een analyse. SonicWall kwam deze week met beveiligingsupdates voor de twee kwetsbaarheden die de aanvallers bij hun aanvallen misbruiken, maar misbruik vond al voor het verschijnen van de patches plaats. De aanvallen zijn gericht tegen SMA1000-gateways. Door de twee beveiligingslekken te combineren kunnen ongeauthenticeerde aanvallers de apparaten op afstand volledig overnemen.

De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen. Het biedt onder andere vpn-functionaliteit en load balancing. Bij de aanvallen weten aanvallers uiteindelijk als root allerlei commando's op de gateway uit te voeren. Zodra er toegang tot de gateway is verkregen stelen de aanvallers allerlei waardevolle credentials, actieve session databases en TOTP (Time-Based One-Time Password) multifactorauthenticatie (MFA) seed configuraties.

Volgens Rapid7 wilden de aanvallers met deze gestolen gegevens langetermijntoegang tot de gateway en achterliggende bedrijfsnetwerken behouden. Zo blijkt uit onderzoek dat de aanvallers zich snel lateraal naar het bedrijfsnetwerk achter de gateway bewegen. De onderzoekers merken op dat ze zagen hoe er zonder gebruik te maken van een vpn Active Directory authenticaties plaatsvonden. De aanvallers bleken direct vanaf de gehackte SonicWall-gateway in te loggen, waarbij het apparaat als een 'niet gemonitorde backdoor' tot de bedrijfsinfrastructuur fungeerde, aldus de onderzoekers.

Rapid7 heeft verschillende Indicators of Compromise beschikbaar gesteld waarmee organisaties kunnen controleren of hun gateway is gehackt. Eerder kwam ook SonicWall met dergelijke informatie en riep op tot uitgebreid forensisch onderzoek om de integriteit van de apparaten te controleren. Sinds wanneer de aanvallen plaatsvinden en hoeveel SonicWall-klanten zijn getroffen is onbekend.

Nog geen reacties
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.