Neue Sicherheitslücken haben IT-Forscher in den Sonicwall SMA100-Firewalls entdeckt. Durch eine Verkettung mehrerer der als hochriskant eingestuften Schwachstellen können Angreifer die Kontrolle über verwundbare Geräte übernehmen.
In einer Sicherheitsmitteilung beschreiben die Sonicwall-Entwickler die Sicherheitslücken. Als am gravierendsten haben sie eine Schwachstelle im SSL-VPN eingestuft, durch die Angreifer aus dem Netz nach einer Anmeldung eine Pfad-Prüfung auf Path-Traversal umgehen und dadurch beliebige Dateien löschen können. SMA100-Geräte lassen sich dadurch auf Werkseinstellungen zurücksetzen, die nach einem Neustart aktiv werden (CVE-2025-32819 / EUVD-2025-13910, CVSS 8.8, Risiko "hoch"). Die Einstufung als "kritisches" Risiko verpasst die Lücke nur sehr knapp.
Aufgrund einer zweiten Lücke können angemeldete Angreifer aus dem Netz mit User-Rechten eine Path-Traversal-Sequenz einschleusen und damit jedes Verzeichnis auf SMA100-Appliances schreibbar machen (CVE-2025-32820 / EUVD-2025-13913, CVSS 8.3, Risiko "hoch"). Die dritte Sicherheitslücke ermöglicht bösartigen Akteuren aus dem Netz mit SSL-VPN-Adminrechten, Kommandozeilenbefehle als Argumente bei einem Dateiupload auf die Appliances einzuschmuggeln (CVE-2025-32821 / EUVD-2025-13911, CVSS laut EUVD 7.1, Risiko "hoch").
Die IT-Sicherheitsforscher von Rapid7 haben die Schwachstellen genauer analysiert und die Erkenntnisse detailliert in einen Blog-Beitrag gegossen. Sie zeigen, wie sie die Sicherheitslecks verknüpfen, um mit Zugriff auf ein SSL-VPN-Konto ein wichtiges Systemverzeichnis schreibbar machen, ihre Rechte zum SMA-Admin erhöhen und eine ausführbare Datei in ein Systemverzeichnis schreiben. Dadurch können sie beliebigen Code aus dem Netz einschleusen und ausführen – mit "root"-Rechten.
Betroffen sind die Sonicwall-Appliances der SMA100-Baureihe, konkret nennt der Hersteller SMA 200, 210, 400, 410 und 500v. Die sind mit Firmware-Ständen 10.2.1.14-75sv oder älter angreifbar. Das Problem behebt das Update auf den Stand 10.2.1.15-81sv und neuer der Firmware.
Zügiges Einspielen der Aktualisierungen ist für IT-Verantwortliche dringend anzuraten. Allein in den vergangenen drei Wochen wurden Angriffswellen auf mehrere ältere Schwachstellen in den SMA100-Baureihen bekannt.
(