Sonicwall hat mit einem Sicherheitshinweis vor gezielten Ransomware-Angriffe gewarnt, die Schwachstellen in seinen Produkten ausnutzen. Betroffen sind die Serie Secure Mobile Access (SMA) 100 (mit den Modellen SMA 210 und SMA 410) und Secure Remote Access (SRA). Die Angreifer könnten mit gestohlenen Anmeldeinformationen auf die Produkte zugreifen, sofern darauf noch eine ungepatchte und veraltete Firmware-Version (8.x) läuft. Die bekannte Schwachstelle ist in neueren Firmware-Versionen bereits geschlossen.

Sonicwall empfiehlt Kunden, die noch 8.x-Firmware verwenden, sofort Maßnahmen zu ergreifen. Sie sollten entweder die Firmware aktualisieren oder ihre Appliances vom Netz trennen. Produkte der Serie SMA 1000 sind nicht betroffen. Kunden mit Geräten, die nicht auf die Firmware-Versionen 9.x- oder 10.x aktualisiert werden können, bietet Sonicwall bis zum 31. Oktober 2021 eine kostenlose, virtuelle SMA 500v an.

Zusätzlich empfiehlt Sonicwall, alle mit einem der betroffenen Geräte verbundenen Anmeldeinformationen zurücksetzen und dies gegebenenfalls auch mit allen anderen Geräten oder Systemen zu tun, die dieselben Anmeldeinformationen verwenden. Darüber hinaus wiederholt der Hersteller seine dringende Empfehlung, eine Multifaktor-Authentifizierung (MFA) zu nutzen.

Zweite Sicherheitslücke bei Sonicwall in diesem Jahr

Es ist bereits das zweite Mal in diesem Jahr, dass Sonicwall ein Sicherheitsproblem hat. Anfang des Jahres bestätigte das Unternehmen, dass sein Tool Secure Mobile Access 100 eine als "kritisch" eingestufte Zero-Day-Lücke aufwies. Einen Tag zuvor hatten Sicherheitsforscher berichtet, dass die Schwachstelle von Angreifern ausgenutzt wird.

Angriffe auf Sonicwall-Produkte könnten ähnlich verheerende Folgen haben, wie die Angriffe auf Solarwinds und die Ransomware-Attacke gegen Kaseya-Kunden, weil Sonicwall schon lange auch Dienstleister bei der Erbringung von Managed Security Services unterstützt und über die Management-Konsole oft Security-Produkte vieler Firmen verwaltet werden. Der Einbruch in eines dieser Systeme bei einem Service Provider könnte also unter Umständen genutzt werden, um Malware oder Ransomware an Hunderte von Kunden zu verteilen.