Nieuws
image

SonicWall meldt actief misbruik van beveiligingslek in firewalls

vrijdag 14 februari 2025, 13:56 door Redactie, 2 reacties

Aanvallers maken actief misbruik van een bekende kwetsbaarheid om firewalls van SonicWall aan te vallen, zo laat het bedrijf zelf weten. Begin deze week kwam securitybedrijf Bishop Fox met proof-of-concept exploit waarmee misbruik van het beveiligingslek mogelijk is en sinds dezelfde dag vinden er aanvallen plaats, aldus SonicWall. Mogelijk lopen duizenden firewalls risico, ook al zijn updates sinds 7 januari beschikbaar.

De kwetsbaarheid, aangeduid als CVE-2024-53704, betreft een probleem in de authenticatie van de vpn-serverfunctionaliteit van de firewall. Via het beveiligingslek kan een remote aanvaller de authenticatie omzeilen en zo toegang tot de SSLVPN-webserver krijgen. SonicWall waarschuwde bij het uitkomen van de updates om die zo snel mogelijk te installeren en dat het beveiligingslek 'susceptible to actual exploitation' is.

Onderzoekers van Bishop Fox stellen dat een aanvaller via de kwetsbaarheid sessies van actieve SSLVPN-gebruikers kan kapen. "Een aanvaller met controle over een actieve SSLVPN-sessie kan de Virtual Office bookmarks van de gebruiker lezen, het client configuratieprofiel voor NetExtender verkrijgen, een vpn-tunnel openen, private networks benaderen waar het gekaapte account toegang toe heeft en de sessie uitloggen, waardoor ook de verbinding van de gebruiker wordt beëindigd."

Vorige week telde Bishop Fox naar eigen zeggen nog zo'n 4500 kwetsbare SonicWall-firewalls op internet. De proof-of-concept exploit verscheen op 10 februari online en dezelfde dag kwam SonicWall met een update van het beveiligingsbulletin, waarin het stelde dat misbruik plaatsvindt en beheerders de update meteen moeten installeren mocht dat nog niet zijn gedaan. Ook securitybedrijven Arctic Wolf en Rapid7 melden actief misbruik.

Reacties (2)
Reageer met quote
Gisteren, 14:39 door Anoniem
Yep het publiceren van een exploit helpt de aanvallers enorm :(

https://www.security.nl/posting/875966/Securitybedrijf+publiceert+exploit+voor+kritiek+lek+in+duizenden+SonicWall-firewalls
Reageer met quote
Gisteren, 18:19 door DeZin
Door Anoniem: Yep het publiceren van een exploit helpt de aanvallers enorm :(

https://www.security.nl/posting/875966/Securitybedrijf+publiceert+exploit+voor+kritiek+lek+in+duizenden+SonicWall-firewalls
Ik vind disclosure van exploits waar nog geen patch voor uitgekomen is na een redelijke termijn na melden bij leverancier prima. Ja, dit maakt exploitation More Likely, maar het steekt peper in de kont van de leverancier en het kan gebruikers helpen zelf workarounds in te bouwen.

Maar bij deze exploit was een patch beschikbaar. Ik vroeg me daarom in dit geval wel af wat de toegevoegde waarde van disclosure is, wetende dat er nog zoveel kwetsbare systemen publiek benaderbaar zijn. Was dit responsible?

Toen las ik dit:

As always, customers of Bishop Fox Cosmos were notified shortly after the vulnerability was announced.
Misschien goeie marketing voor het security bedrijf? Kijk eens hoe vaak het lek dat wij gevonden en voor gewaarschuwd hebben wordt aangevallen joh!
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure