Mehrere Modelle des Fernzugriffsystems SMA 100 von SonicWall befinden sich zur Zeit im Fokus von Angreifern. Ein Sicherheitspatch steht noch aus, soll aber heute im Laufe des Tages noch erscheinen. Wir ergänzen diese Meldung.
Das bestimmte SMA-100-Systeme über eine Zero-Day-Lücke attackierbar sind, ist schon seit Ende Januar 2021 bekannt. Zero-Day-Lücke bedeutet, dass es noch keinen Sicherheitspatch für eine Schwachstelle gibt. Nun haben Sicherheitsforscher von NCC Group Research & Technology Hinweise auf die Nutzung von Exploit-Code beobachtet.
Ergänzende Hinweise
Daraufhin hat SonicWall seine Warnmeldung zur Problematik mit weiteren Hinweisen ergänzt. Klar ist nun, dass ausschließlich die physischen und virtuellen Modelle der SMA-100-Serie SMA 200, SMA 210, SMA 400, SMA 410 und SMA 500v mit der Firmware 10.x betroffen sind. Modelle mit vorigen Firmware-Versionen sollen nicht bedroht sein. Konkrete Details zur Sicherheitslücke fehlen noch immer.
Der Hersteller von Netzwerkausrüstung versichert, dass Firewalls, SMA-1000-Appliances und VPN-Clients nicht bedroht sind.
Systeme absichern
SonicWall gibt Tipps, wie Admins SMA-Systeme absichern können, bis der Sicherheitspatch erscheint. Beispielsweise empfehlen sie Admins dringend, die Multi-Faktor-Authentifizierung (MFA) zu aktivieren. Ist diese Funktion aktiviert, könnten Angreifer selbst mit einem korrekten Passwort nicht ohne Weiteres auf Systeme zugreifen. Außerdem empfehlen sie, dass Admins alle Passwörter zurücksetzen.
Zusätzlich sollten bedrohte Systeme hinter einer Firewall abgeschottet sein. Alternativ ist es möglich, die Einstellungen der 10.x-Firmware zu sichern, Systeme auf Werkseinstellungen zurückzusetzen und eine nicht verwundbare 9.x-Ausgabe zu installieren.
Quelle: Patch angekündigt: Attacken auf Fernzugriffsystem SMA 100 von SonicWall | heise online
Update 24.02.2021:
Jetzt patchen! SonicWall optimiert Sicherheitsupdates für SMA 100
Der Netzwerkausrüster hat neue Patches für sein Fernzugriffsystem SMA 100 veröffentlicht und rät zur zügigen Installation.
Die Entwickler von SonicWall haben optimierte Sicherheitsupdates für das Fernzugriffsystem SMA 100 veröffentlicht. Davon sind verschiedene Modelle betroffen.
Derzeit nutzen Angreifer eine "kritische" Sicherheitslücke (CVE-2021-20016, CVSS v3 9.8 von 10) in den Fernzugriffsystemen aus. Sind Attacken erfolgreich, könnten Angreifer Schadcode mit Admin-Rechten ausführen.
Nochmal patchen
Erste Sicherheitspatches sind bereits Anfang Februar erschienen. Wie aus einer offiziellen Warnmeldung hervorgeht, hat SonicWall nun die überarbeiteten Firmware-Versionen 9.0.0.10-28v und 10.2.0.6-32sv veröffentlicht. Im Detail haben sie unter anderem den Code gehärtet und die Performance verbessert.
SonicWall rät Admins, die aktuellen Updates zeitnah zu installieren. Ob die Lücke erst mit diesen Updates komplett geschlossen wird, geht aus der Beschreibung nicht hervor. Außerdem taucht der Versionsstrang 9.x nun erstmals auf. In vorigen Versionen der Warnmeldung war die Rede davon, dass ausschließlich 10.x bedroht ist.
Die aktuelle Firmware ist für die Appliances SMA 200, SMA 210, SMA 400, SMA 410 und die virtuelle Appliance SMA 500v (Azure, AWS, ESXi, HyperV) verfügbar. Nach der Installation rät SonicWall Admins, alle Passwörter von über das Web-Interface eingeloggten Nutzern zurückzusetzen. Außerdem sollte man aus Sicherheitsgründen die Multifaktor-Authentifizierung (MFA) aktivieren.
Quelle: Jetzt patchen! SonicWall optimiert Sicherheitsupdates für SMA 100 | heise online