Sonicwall NetExtender-Schwachstelle durch APT-Gruppe ausgenutzt

[English]Auf den Anbieter Sonicwall hat es einen Angriff von einer APT-Gruppe gegeben und die Angreifer hatten wohl Zugriff auf den Code des Anbieters. Sonicwall hat das bereits bestätigt. Wer Sonicwall-Produkte nutzt, sollte reagieren.

SonicWall ist ein IT-Infrastruktur-Unternehmen aus den USA, welches Firewall- und Sicherheitslösungen anbietet. Die werben damit, dass SonicWall-Produkte und Echtzeit-Sicherheitsdienste Unternehmen dabei helfen können, Sunburst- und Supernova-Malware sowie andere Angriffe auf verwundbare Systeme zu entdecken. Jetzt sind die wohl selbst Opfer eines Cyberangriffs geworden. Blog-Leser Stefan A. hat mich heute Abend per E-Mail auf dieses brandheiße Thema hingewiesen – danke für die Information. Er schrieb dazu:

Hallo Herr Born,

mir ist heute Morgen die Meldung unterkommen, dass Sonicwall von einer APT Gruppe attackiert wurde und die Eindringlinge Zugriff auf Code der NetExtender SSLVPN Schnittstelle hatten.

Da ihr Blog eine gewisse Reichweite hat und vielleicht der ein oder andere Blog-Leser Sonicwall Produkte einsetzt, könnten sie evtl. einmal darauf hinweisen.

Mache ich an dieser Stelle doch gerne. Stefan hat mir in seiner Mail noch einen Link auf die Bestätigung durch Sonicwall vom 22. Januar 2020 geschickt. Der Anbieter schreibt dort:

Urgent Security Notice: NetExtender VPN Client 10.X, SMA 100 Series Vulnerability

NOTE: We will continue to update this knowledge base (KB) article as more information and mitigation steps are available.

SonicWall provides cybersecurity products, services and solutions designed to help keep organizations safe from increasingly sophisticated cyber threats. As the front line of cyber defense, we have seen a dramatic surge in cyberattacks on governments and businesses, specifically on firms that provide critical infrastructure and security controls to those organizations.

We believe it is extremely important to be transparent with our customers, our partners and the broader cybersecurity community about the ongoing attacks on global business and government.

Recently, SonicWall identified a coordinated attack on its internal systems by highly sophisticated threat actors exploiting probable zero-day vulnerabilities on certain SonicWall secure remote access products. The impacted products are:

  • NetExtender VPN client version 10.x (released in 2020) utilized to connect to SMA 100 series appliances and SonicWall firewalls
  • Secure Mobile Access (SMA) version 10.x running on SMA 200, SMA 210, SMA 400, SMA 410 physical appliances and the SMA 500v virtual appliance

The NetExtender VPN client and SMB-oriented SMA 100 series are used for providing employees/users with remote access to internal resources. The SMA 1000 series is not susceptible to this vulnerability and utilizes clients different from NetExtender.

Im verlinkten Beitrag gibt Sonicwall Hinweise, was Kunden vorsorglich tun können bzw. welche Aktionen sie angesichts des APT-Angriffs durchführen sollten.

  • Bei Sonicwall SMA 100 series: Zugriff auf SSLVPN Service über ein Firewall sperren / einschränken (Whitelisting)
  • Bei Sonicwall Firewall series: SSLVPN Service auf der Firewall deaktivieren / einschränken (Whitelisting)

Zur Konfigurierung des Zugriffs gibt es diesen Sonicwall-Beitrag. Zudem empfiehlt Sonicwall die Zweifaktor-Authentifizierung (2FA) in der auf Firewall, SMA und Mysonicwall zu aktivieren. Details finden sich in der Sonicwall-Mitteilung.

Dieser Beitrag wurde unter Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Eine Antwort zu Sonicwall NetExtender-Schwachstelle durch APT-Gruppe ausgenutzt

  1. PRISM sagt:

    neues Update:

    Dringender Sicherheitshinweis: Sicherheitsanfälligkeit In NetExtender VPN Client 10.X, SMA 100-Serie [Aktualisiert Am 23. Januar 2021]
    24.01.2021

    BESCHREIBUNG:

    UPDATE: 23. Januar 2021, 21:30 Uhr CST

    SonicWall-Entwicklungsteams haben ihre Untersuchung der wahrscheinlichen Zero-Day-Schwachstellen fortgesetzt und das folgende Update zu den betroffenen Produkten erstellt:

    NICHT BETROFFEN
    SonicWall-Firewalls: Alle Generationen von SonicWall- Firewalls sind nicht von der Sicherheitsanfälligkeit betroffen, die sich auf den SMA 100 auswirkt.
    Kunden oder Partner müssen keine Maßnahmen ergreifen.

    NetExtender VPN-Client: Während wir zuvor NetExtender 10.X als potenziell mit einem Zero-Day kommuniziert haben, wurde dies jetzt ausgeschlossen. Es kann mit allen SonicWall-Produkten verwendet werden.
    Kunden oder Partner müssen keine Maßnahmen ergreifen.

    SMA 1000-Serie: Diese Produktlinie ist von diesem Vorfall nicht betroffen. Kunden können die SMA 1000-Serie und die zugehörigen Kunden sicher verwenden.
    Kunden oder Partner müssen keine Maßnahmen ergreifen.

    SonicWall SonicWave-APs:
    Kunden oder Partner müssen keine Maßnahmen ergreifen.

    BLEIBT UNTER UNTERSUCHUNG
    SMA 100-Serie: Dieses Produkt wird weiterhin auf eine Sicherheitsanfälligkeit untersucht. Wir können jedoch die folgenden Anleitungen zu Anwendungsfällen für die Bereitstellung herausgeben:
    Derzeitige Kunden der SMA 100-Serie können NetExtender weiterhin für den Remotezugriff mit der SMA 100-Serie verwenden. Wir haben festgestellt, dass dieser Anwendungsfall nicht ausgenutzt werden kann.
    Wir empfehlen Administratoren der SMA 100-Serie, bestimmte Zugriffsregeln zu erstellen oder den Administratorzugriff von Virtual Office und HTTPS über das Internet zu deaktivieren, während wir die Sicherheitsanfälligkeit weiter untersuchen.

    Während wir den Vorfall weiter untersuchen, werden wir weitere Updates in dieser KB bereitstellen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert