Angriffe auf VPN-Appliances

SonicWall warnt vor Zero-Day-Lücken in SMA1000

SonicWall
Bildquelle: Tada Images/Shutterstock.com

SonicWall warnt vor der aktiven Ausnutzung zweier Schwachstellen in seinen SMA1000-Systemen. Für betroffene Geräte stehen dringende Hotfixes bereit.

Der IT-Sicherheitsanbieter SonicWall warnt vor zwei Sicherheitslücken in seinen Secure Mobile Access (SMA) 1000-Systemen, die bereits aktiv für Angriffe ausgenutzt werden.

Anzeige

Die Schwachstellen werden unter den Bezeichnungen CVE-2026-15409 und CVE-2026-15410 geführt. Das herstellereigene Sicherheitsteam hat die Vorfälle analysiert und die Kompromittierung bestätigt. In der offiziellen Sicherheitswarnung heißt es:

„Das SonicWall PSIRT hat mehrere Fälle untersucht, die auf eine aktive Ausnutzung der in dieser Sicherheitswarnung beschriebenen Schwachstellen hindeuten.“

SonicWall

Anzeige

Betroffen sind die SMA1000-Modelle 6210, 7210 und 8200v. Die Schwachstellen betreffen hingegen weder die SSL-VPN-Funktionen auf den Firewalls des Herstellers noch die Produktlinie der SMA 100-Serie. Da für beide Fehler keine Behelfsmaßnahmen oder alternativen Abhilfen existieren, rät der Hersteller dringend zur sofortigen Installation der bereitgestellten Sicherheitsupdates.

Technische Details zu den Schwachstellen

Die erste Schwachstelle (CVE-2026-15409) ist ein Server-Side Request Forgery (SSRF) im Web-Interface (Work Place) des SMA1000-Geräts. Dieser Fehler wurde mit dem maximalen Schweregrad von 10,0 bewertet. Er ermöglicht es einem entfernten, nicht authentifizierten Angreifer, das System dazu zu zwingen, Anfragen an unerwartete und potenziell interne Netzwerkziele zu senden.

Die zweite Schwachstelle (CVE-2026-15410) ist ein Code-Injektionsfehler in der Administrationskonsole (Appliance Management Console, AMC). Dieser Fehler hat einen Schweregrad von 7,2 und setzt eine erfolgreiche Anmeldung als Administrator voraus. Ein authentifizierter Angreifer mit Administratorrechten kann dadurch beliebige Betriebssystembefehle auf dem Gerät ausführen. Trotz der notwendigen Authentifizierung stuft SonicWall die Gesamtwarnung mit einem Risiko-Score von 10,0 ein, da die beiden Fehler theoretisch miteinander verkettet werden könnten.

Betroffene Softwareversionen und Indikatoren für eine Kompromittierung

Die Fehler betreffen Systeme mit den Firmware-Versionen 12.4.3-03245, 12.4.3-03387, 12.4.3-03434, 12.5.0-02283, 12.5.0-02624 und 12.5.0-02800. Die Sicherheitsupdates sind in den Plattform-Hotfix-Versionen 12.4.3-03453 und 12.5.0-02835 sowie allen neueren Versionen enthalten.

Administratoren können die Systeme anhand folgender Anzeichen auf eine bereits erfolgte Kompromittierung untersuchen:

  • Einträge in der Datei extraweb_access.log, die Anfragen an die Pfade /api/login oder /api/logout mit dem HTTP-Status 200 aufweisen.
  • Einträge in der Datei extraweb_access.log für Anfragen an den Pfad /wsproxy mit verdächtigen Host-Parametern und dem HTTP-Status 101.
  • Einträge in der Datei ctrl-service.log, die Rücksetzungen von Hotfixes (Rollbacks) mit Pfadtraversierungs-Mustern zeigen.
  • Einträge in der Datei /var/lib/unit/conf.json, die Routen für die Pfade /api/login oder /api/logout enthalten, da diese URIs in regulären Konfigurationen nicht existieren.
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.

Notwendige Maßnahmen bei einer Infektion

Sollten diese Merkmale auf einem Gerät gefunden werden, empfiehlt der Hersteller weitreichende Bereinigungsmaßnahmen. Physische Geräte müssen komplett neu mit einem Systemabbild bespielt (Re-Imaging) und virtuelle Instanzen neu aufgesetzt werden. Zudem müssen alle Benutzer- und Administratorpasswörter geändert sowie die Schlüssel für die Zwei-Faktor-Authentifizierung (TOTP) zurückgesetzt werden.

Die US-Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) hat beide Schwachstellen in ihren Katalog bekannter ausgenutzter Sicherheitslücken aufgenommen. US-Bundesbehörden sind durch eine bindende Richtlinie dazu verpflichtet, die betroffenen Systeme bis zum 17. Juli 2026 abzusichern oder die Nutzung der Produkte einzustellen, falls die Patches nicht eingespielt werden können.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.