Die Schwachstelle CVE-2024-40766 betrifft zahlreiche Firewall-Modelle von SonicWall, auf denen mehrere Versionen der Firmware SonicOS laufen. Sie wurde mit einem Schweregrad von 9,3 von 10,0 als kritisch eingestuft. SonicWall veröffentlichte die Liste der betroffenen Firewalls bereits am 22. August. Damals stellte der Hersteller auch Patches für das Problem bereit und gab Tipps für einen Workaround.
Am 6. September ergänzte der Hersteller sein Security-Adivisory um einen Hinweis, dass auch SSLVPN betroffen ist und die Lücke potenziell bereits ausgenutzt wird. Sicherheitsforscher von Arctic Wolf und Rapid7 haben das jetzt bestätigt.
"Mit der Akira-Ransomware verbundene Gruppen führten Ransomware-Angriffe durch, deren erster Zugriffsvektor die Kompromittierung von SSLVPN-Benutzerkonten beinhaltete", schreibt Stefan Hostetler, Senior Threat Intelligence Researcher bei Arctic Wolf. In den Fällen seien die kompromittierten Konten lokal auf den Geräten angelegt und nicht in eine zentrale Authentifizierungslösung wie Microsoft Active Directory integriert.
"Darüber hinaus war MFA für alle kompromittierten Konten deaktiviert und die SonicOS-Firmware auf den betroffenen Geräten gehörte zu den Versionen, von denen bekannt ist, dass sie für CVE-2024-40766 anfällig sind", erklärt der Security-Forscher.
Auch Rapid7 sind seit 9. September mehrere Vorfälle bekannt - die entweder von Rapid7 beobachtet oder dem Unternehmen mitgeteilt wurden -, bei denen SonicWall-SSLVPN-Konten angegriffen oder kompromittiert wurden. In einigen Fällen habe es sich bei den Angreifern um bekannte Ransomware-Gruppen gehandelt, schreibt Rapid7. Zwar sei die Rolle der Lücke CVE-2024-40766 bei diesen Vorfällen nicht vollständig geklärt, Rapid7 empfiehlt aber dringend, das Problem zu beheben - und sei es nur mit dem vom Hersteller empfohlenen Workaround.