Security-Forscher von Arctic Wolf Labs berichteten vor dem Wochenende von mehreren Ransomware-Angriffen, bei denen wahrscheinlich eine Zero-Day-Schwachstelle von Sonicwall ausgenutzt wurde. Auch der Hersteller bestätigte, dass es einen deutlichen Anstieg gemeldeter Cybervorfälle gegeben habe, die die Gen-7-Sonicwall-Firewalls mit aktiviertem SSLVPN betreffen.

Man sei von externen Forschungsteams, darunter Arctic Wolf, aber auch Google Mandiant und Huntress, auf die Aktivitäten hingewiesen worden. Derzeit untersuche man die Probleme, schreibt der US-Anbieter von Netzwerksicherheitslösungen. Sobald eine Sicherheitslücke bestätigt werde, werde Sonicwall umgehend informieren und aktualisierte Firmware bereitstellen.

In der Zwischenzeit rät der Hersteller dringend, SSLVPN-Dienste zu deaktivieren. Sollte dies nicht möglich sein, solle die SSLVPN-Konnektivität auf vertrauenswürdige IPs beschränkt werden. Ferner empfiehlt das Unternehmen, MFA für sämtliche Fernzugriffe zu erzwingen.

Verbreitung von Ransomware

Allerdings deuten Berichte darauf hin, dass die Durchsetzung von MFA allein möglicherweise keinen Schutz bietet. Gemäss Arctic Wolf sind auch vollständig gepatchte Sonicwall-Geräte nach einem Austausch von Zugangsdaten betroffen gewesen. "Selbst in Fällen, in denen eine Multi-Faktor-Authentifizierung aktiviert war, wurden Accounts kompromittiert."

Ähnliches schreibt auch Huntress: "Eine wahrscheinliche Zero-Day-Sicherheitslücke in Sonicwall-VPNs wird aktiv ausgenutzt, um MFA zu umgehen und Ransomware zu verbreiten". Auch Huntress empfiehlt, den VPN-Dienst zu deaktivieren oder den Zugriff einzuschränken. Man habe beobachtet, dass Angreifer "innerhalb weniger Stunden nach dem ersten Einbruch direkt auf die Domain Controllers abzielen".

Huntress vermeldet rund 20 Angriffe in diesem Zusammenhang seit dem 25. Juli. Dabei seien auch laterale Bewegungen und der Diebstahl von Anmeldedaten beobachtet worden. Dies geschehe in einem Tempo, das auf einen Zero-Day-Exploit hinweise. Das endgültige Ziel scheine die Installation von Ransomware, insbesondere Akira, zu sein. Bevor diese eingesetzt werde, würden die Angreifer systematisch Security-Tools deaktivieren. Zudem würden die Angreifer unmittelbar vor dem Einsatz der Ransomware auch Massnahmen unternehmen, um eine einfache Wiederherstellung zu verhindern, schreibt Huntress.

Sollten sich die Vermutungen bestätigen, wäre es bereits der zweite Zero-Day-Exploit bei Sonicwall in diesem Jahr. Im Januar warnte das Unternehmen seine Kunden, vor einer Lücke in seinem Secure Access Gateway. Die Lücke könnte es einem entfernten, nicht authentifizierten Angreifer ermöglichen, beliebige Betriebssystembefehle auszuführen. Diese Schwachstelle sei vermutlich schon vor der Veröffentlichung eines Patches ausgenutzt worden, hiess es damals.