SonicWall raadt gebruikers van zijn nieuwste firewalls aan om VPN uit te schakelen. Een golf aan ransomware-aanvallen is mogelijk geconnecteerd met een kwetsbaarheid in de oplossing.
Beveiligingsspecialist SonicWall waarschuwt klanten over het gebruik van de VPN-functionaliteit in zijn firewalls van de zevende generatie. Sinds enkele dagen is er een scherpe toename van het aantal cyberincidenten waarbij deze toestellen betrokken zijn. SonicWall ziet die toename niet alleen zelf; de verhoogde activiteit wordt ook waargenomen door externe partijen zoals Google Mandiant, Huntress Labs en Arctic Wolf.
Vermoedelijke zero day-bug
Concreet worden gebruikers van SonicWall-firewalls van de zevende generatie plots het slachtoffer van ransomware-aanvallen wanneer ze de SSLVPN-functionaliteit hebben ingeschakeld.
Het is op dit moment niet duidelijk of en hoe hackers de VPN in de firewalls misbruiken. SonicWall houdt rekening met een zero day-bug, maar daarover bestaat op dit moment nog geen informatie. Zowel Artcic Wolf als Huntress Labs stellen wel dat een nog te ontdekken zero day de hoofdverdachte is voor de hele situatie. Bij gebrek aan een gekende bug is er op dit moment evenmin een beschikbare patch.
Uitschakelen
SonicWall vraagt klanten bijgevolg om die functionaliteit uit te schakelen. Is het niet mogelijk om de SSLVPN uit te schakelen, dan kunnen klanten mitigerende maatregelen nemen om het risico te beperken.
Zo stelt SonicWall voor om enkel gekende IP-adressen toe te laten, Bbtnet-bescherming en geo-IP-filtratie in te schakelen en uiteraard MFA te activeren. Ietwat verontrustend vermeldt het bedrijf er wel meteen bij dat er indicaties zijn dat MFA niet volstaat om een succesvolle aanval te voorkomen.
Niet de eerste keer
Het is niet de eerste keer dat de firewalls van SonicWall onder vuur liggen. Vorige maand nog ontdekte beveiligers van Google een achterpoort in de SonicWall SMA 100-reeks. In februari maakten aanvallers actief misbruik van een eerder ontdekte bug in SonicOS. Eind 2024 raakte bekend dat meer dan 25.000 openbaar toegankelijke SonicWall SSLVPN-apparaten kwetsbaar waren voor misbruik, al lag de verantwoordelijkheid daarvoor bij het updatebeleid van gebruikers.
In de meeste gevallen kan een goed updatebeleid misbruik voorkomen. Dat is deze keer anders. Het is uitzonderlijk dat een trend van misbruik zichtbaar is, maar de vector onduidelijk blijft. Wie een SonicWall-firewall van de zevende generatie heeft, neemt best mitigerende maatregelen en mag zich klaarhouden voor een patch.