Vijfduizend firewalls van fabrikant SonicWall bevatten een kritiek authenticatie-lek in de vpn-functie, zo stelt securitybedrijf Bishop Fox op basis van eigen onderzoek. SonicWall kwam op 7 januari met beveiligingsupdates voor het probleem, aangeduid als CVE-2024-53704. Via de kwetsbaarheid kan een remote aanvaller de authenticatie omzeilen en zo toegang tot vpn-server krijgen. De Amerikaanse overheid heeft de impact van de kwetsbaarheid op een schaal van 1 tot en met 10 beoordeeld met een 9.8, terwijl SonicWall een impactscore van 8.2 aanhoudt.

SonicWall waarschuwde bij het uitkomen van de updates om die zo snel mogelijk te installeren en dat het beveiligingslek 'susceptible to actual exploitation' is. Onderzoekers van Bishop Fox leggen uit dat een aanvaller via de kwetsbaarheid sessies van actieve sslvpn-gebruikers kan kapen. "Een aanvaller met controle over een actieve sslvpn-sessie kan de Virtual Office bookmarks van de gebruiker lezen, het client configuratieprofiel voor NetExtender verkrijgen, een vpn-tunnel openen, private networks benaderen waar het gekaapte account toegang toe heeft en de sessie uitloggen, waardoor ook de verbinding van de gebruiker wordt beëindigd."

De onderzoekers stellen dat er zo'n vijfduizend kwetsbare SonicWall-firewalls online zijn te vinden. "Hoewel de nodige reverse engineering was vereist om de kwetsbaarheid te vinden en te misbruiken, is de exploit zelf redelijk eenvoudig", aldus de onderzoekers. De kwetsbaarheid werd gevonden en gerapporteerd door onderzoekers van het Nederlandse Computest Security. Bishop Fox is van plan om op 10 februari details over de exploit online beschikbaar te maken.