Securitybedrijf Bishop Fox heeft een exploit voor een kritieke kwetsbaarheid in firewalls van fabrikant SonicWall gepubliceerd waardoor ruim vierduizend apparaten risico lopen te worden aangevallen. Een beveiligingsupdate voor het probleem is sinds 7 januari beschikbaar, maar een groot aantal apparaten is nog altijd ongepatcht. Eind januari stelde het securitybedrijf dat er zo'n vijfduizend kwetsbare firewalls online te vinden waren.

De kwetsbaarheid, aangeduid als CVE-2024-53704, betreft een probleem in de authenticatie van de vpn-serverfunctionaliteit van de firewall. Via het beveiligingslek kan een remote aanvaller de authenticatie omzeilen en zo toegang tot de SSLVPN-webserver krijgen. SonicWall waarschuwde bij het uitkomen van de updates om die zo snel mogelijk te installeren en dat het beveiligingslek 'susceptible to actual exploitation' is.

Onderzoekers van Bishop Fox stellen dat een aanvaller via de kwetsbaarheid sessies van actieve SSLVPN-gebruikers kan kapen. "Een aanvaller met controle over een actieve SSLVPN-sessie kan de Virtual Office bookmarks van de gebruiker lezen, het client configuratieprofiel voor NetExtender verkrijgen, een vpn-tunnel openen, private networks benaderen waar het gekaapte account toegang toe heeft en de sessie uitloggen, waardoor ook de verbinding van de gebruiker wordt beëindigd."

Eind januari liet het securitybedrijf al weten dat het deze week volledige details over de exploit zou openbaren. "Hoewel de nodige reverse-engineering was vereist om de kwetsbaarheid te vinden en misbruiken, is de exploit zelf vrij eenvoudig", aldus security-engineer Jon Williams. Vijf dagen geleden telde Bishop Fox naar eigen zeggen nog zo'n 4500 kwetsbare SonicWall-firewalls op internet. Beheerders worden opgeroepen, mochten ze dit nog niet hebben gedaan, de update direct te installeren.