Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
SonicWall gehört zu den führenden Herstellern von Firewalls und Sicherheitslösungen für Unternehmen. Doch kürzlich wurde eine schwerwiegende Schwachstelle in der SSLVPN-Komponente von SonicOS entdeckt und veröffentlicht. Ein Proof-of-Concept (PoC)-Exploit zeigt, dass Angreifer eine bestehende VPN-Session kapern können, ohne Benutzername oder Passwort zu kennen. Das bedeutet ein enormes Sicherheitsrisiko für Unternehmen, die auf SonicWall-Firewalls setzen.
Details zur Schwachstelle (CVE-2024-53704)
Am 7. Januar 2025 hat SonicWall ein Advisory zu mehreren Sicherheitslücken in SonicOS veröffentlicht. Eine dieser Schwachstellen betrifft die SSLVPN-Authentifizierung und ermöglicht es Angreifern, sich unautorisiert Zugriff auf interne Netzwerke zu verschaffen.
Wichtige Details zur Schwachstelle:
- Kennung: CVE-2024-53704
- Bewertung nach CVSS: 8.2 (hoch)
- Betroffene Systeme:
- SonicOS 7.1.x bis 7.1.1-7058 und niedriger
- SonicOS 7.1.2-7019
- TZ80 mit Version 8.0.0-8035
Die Schwachstelle wird durch Session-Hijacking ausgenutzt: Ein Angreifer kann eine bereits aktive VPN-Session eines legitimen Benutzers übernehmen. Selbst wenn Multi-Faktor-Authentifizierung (MFA) aktiviert ist, schützt diese nicht vor dem Angriff.
Wie funktioniert der Angriff?
Laut den Forschern von Rapid7 erfolgt der Angriff in folgenden Schritten:
- Ein Nutzer meldet sich regulär bei SonicWall SSLVPN an.
- Der Angreifer kapert die Session, indem er eine bestehende, authentifizierte Verbindung übernimmt.
- Der Angreifer erhält Vollzugriff auf das interne Netzwerk des Unternehmens.
- Er kann auf gespeicherte Lesezeichen, VPN-Tunnel und Netzwerkkonfigurationen zugreifen.
- Der Angreifer kann die Session terminiert und sich erneut verbinden, ohne sich authentifizieren zu müssen.
Laut den Berichten von Bishop Fox sind weltweit mehr als 5.000 SonicWall-Firewalls verwundbar, da viele Unternehmen den SSLVPN-Zugang über das Internet verfügbar machen.
Risiken und Auswirkungen
Firewalls sind das Rückgrat der IT-Sicherheit. Eine Kompromittierung kann schwerwiegende Folgen haben:
✔ Unautorisierter Zugriff auf Unternehmensnetzwerke
✔ Spionage, Datendiebstahl oder Sabotage
✔ Aushebelung bestehender Sicherheitsmechanismen wie MFA
✔ Ermöglichen von weiteren Angriffen innerhalb des Netzwerks
Da die Schwachstelle bereits öffentlich bekannt ist und ein Proof-of-Concept verfügbar ist, ist die Wahrscheinlichkeit von massiven Angriffen in den kommenden Wochen sehr hoch.
Empfohlene Schutzmaßnahmen
SonicWall hat bereits Sicherheitsupdates veröffentlicht, die dringend eingespielt werden sollten. Unternehmen, die SonicWall SSLVPN nutzen, sollten folgende Schritte unternehmen:
✅ Sofortige Installation des Patches
- Gen7 Firewalls: Update auf Version 7.1.3-7015 oder höher
- NSv: Update auf 7.0.1-5165 oder höher
- TZ80: Update auf 8.0.0-8037 oder höher
✅ Überprüfung auf bereits erfolgte Angriffe
- Logfiles auswerten, insbesondere nach ungewöhnlichen SSLVPN-Session-Wiederverwendungen
- Verdächtige Event-IDs (1153) in den Logs überprüfen
✅ Deaktivierung von SSLVPN, falls nicht notwendig
- Falls SSLVPN nicht unbedingt benötigt wird, sollte der Zugang deaktiviert oder auf vertrauenswürdige Quellen beschränkt werden.
✅ Netzwerksegmentierung und Zero-Trust-Strategie umsetzen
- Ein Zero-Trust-Modell kann die Auswirkungen eines Angriffs minimieren.
✅ Regelmäßige Sicherheitsupdates einspielen
- Unternehmen sollten sicherstellen, dass alle Sicherheitsupdates zeitnah eingespielt werden.
Fazit
Die Schwachstelle CVE-2024-53704 in SonicWall SonicOS SSLVPN stellt ein hohes Risiko dar, da Angreifer unautorisiert auf Netzwerke zugreifen können. Da bereits ein Proof-of-Concept veröffentlicht wurde, sind zeitnahe Updates und Sicherheitsmaßnahmen unerlässlich. Unternehmen sollten sofort handeln, um sich vor potenziellen Angriffen zu schützen.
Quellen:
- SonicWall Advisory: SNWLID-2025-0003
- Rapid7 Analyse: CVE-2024-53704 Report
- Bishop Fox Sicherheitsanalyse: SonicWall SSLVPN Hijacking
- BSI IT-Grundschutz: NET.3.2 Firewall Sicherheit
