Angreifer haben zurzeit zwei ältere Sicherheitslücken in Sonicwall-Fernwartungslösungen der Secure-Mobile-Access-Serie (SMA) im Visier. Sicherheitspatches sind schon länger verfügbar, aber offensichtlich sind sie bisher nicht flächendeckend installiert. Admins sollten umgehend handeln und ihre SMA-Instanzen aktualisieren.
Beide Schwachstellen betreffen die SMA-Reihen SMA 200, 210, 400, 410 und 500v. Die Entwickler versichern, die Lücken ab der Firmware 10.2.1.14-75sv geschlossen zu haben.
Sind Attacken erfolgreich, können Angreifer Schadcode ausführen. Die "kritische" Lücke (CVE-2024-38475) betrifft die SMA-Komponente Apache HTTP Server. Daran können Angreifer mit präparierten URLs für Schadcode-Attacken ansetzen.
In einem aktualisierten Beitrag warnt Sonicwall nun vor Attacken. In welchem Umfang sie ablaufen, ist derzeit unklar. Die Entwickler raten Admins nach unautorisierten Log-in-Versuchen Ausschau zu halten. Außerdem führen sie aus, dass weitere Untersuchungen der Lücke gezeigt haben, dass Angreifer nach einer erfolgreichen Ausnutzung Sessions übernehmen können.
Um die zweite Schwachstelle (CVE-2023-44221 "hoch") ausnutzen zu können, muss ein entfernter Angreifer bereits über Adminrechte verfügen. Ist das gegeben, kann er am SSL-VPN-Management-Interface ansetzen, um eigene Befehle auszuführen, erläutern die Entwickler in einer Warnmeldung.
Erst kürzlich sorgten Attacken auf ältere Sicherheitslücken im Sonicwall-Kontext für Schlagzeilen. Davor warnt unter anderem die US-Sicherheitsbehörde Cybersecurity & Infrastructure Security Agency (CISA) in einer Meldung.