image

'Gehackte SonicWall-gateways gebruikt als backdoor tot bedrijfsnetwerken'

donderdag 16 juli 2026, 16:39 door Redactie, 1 reacties

Aanvallers gebruiken gehackte SonicWall-gateways als backdoor tot bedrijfsnetwerken, zo stelt cybersecuritybedrijf Rapid7 in een analyse. SonicWall kwam deze week met beveiligingsupdates voor de twee kwetsbaarheden die de aanvallers bij hun aanvallen misbruiken, maar misbruik vond al voor het verschijnen van de patches plaats. De aanvallen zijn gericht tegen SMA1000-gateways. Door de twee beveiligingslekken te combineren kunnen ongeauthenticeerde aanvallers de apparaten op afstand volledig overnemen.

De Secure Mobile Access (SMA) appliance is een apparaat dat als gateway wordt gebruikt om gebruikers bijvoorbeeld op het bedrijfsnetwerk te laten inloggen. Het biedt onder andere vpn-functionaliteit en load balancing. Bij de aanvallen weten aanvallers uiteindelijk als root allerlei commando's op de gateway uit te voeren. Zodra er toegang tot de gateway is verkregen stelen de aanvallers allerlei waardevolle credentials, actieve session databases en TOTP (Time-Based One-Time Password) multifactorauthenticatie (MFA) seed configuraties.

Volgens Rapid7 wilden de aanvallers met deze gestolen gegevens langetermijntoegang tot de gateway en achterliggende bedrijfsnetwerken behouden. Zo blijkt uit onderzoek dat de aanvallers zich snel lateraal naar het bedrijfsnetwerk achter de gateway bewegen. De onderzoekers merken op dat ze zagen hoe er zonder gebruik te maken van een vpn Active Directory authenticaties plaatsvonden. De aanvallers bleken direct vanaf de gehackte SonicWall-gateway in te loggen, waarbij het apparaat als een 'niet gemonitorde backdoor' tot de bedrijfsinfrastructuur fungeerde, aldus de onderzoekers.

Rapid7 heeft verschillende Indicators of Compromise beschikbaar gesteld waarmee organisaties kunnen controleren of hun gateway is gehackt. Eerder kwam ook SonicWall met dergelijke informatie en riep op tot uitgebreid forensisch onderzoek om de integriteit van de apparaten te controleren. Sinds wanneer de aanvallen plaatsvinden en hoeveel SonicWall-klanten zijn getroffen is onbekend.

Reacties (1)
16-07-2026, 19:31 door Anoniem
Recent een SMA 500v eruit gegooid want sinds dat bekend is dat SonicWall een probleem heeft doorlopende aanvallen als resultaat.
Maar, Domain Localadmin niet in gebruik, inloggen op de GUI van de gateway voor beheer voorbehouden aan een enkel IP-Adres vanaf het interne netwerk, Webbrowser inloggen niet mogelijk, geen accounts op de SonicWall, netwerkschijven koppelen alleen mogelijke d.m.v. inloggen via de NetExtender i.c.m. LDAP, OneSpan Appliance en Tokens.

Ondanks dat constante pogingen om via Localadmin in te kunnen loggen maar dus op een niet bestaand domein en password lockout na 5 pogingen.

Aanvallende IP-Adressen opgevoerd in firewall blacklists en landen tabellen toegepast.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.