Original Post: Jan. 23, 2021
Dringend: Sonicwall NetExtender Vulnerability
IHR HANDELN IST ERFORDERLICH !
Hallo zusammen,
Bei einem Sicherheitsvorfall zählt jede Sekunde, deshalb möchten wir Sie heute auch so früh wie möglich warnen.
Cyberattacken lassen sich nicht verhindern. Deshalb sind die Erkennung, Analyse und Reaktion sehr wichtig.

Sonicwall hat heute folgende Meldung veröffentlicht
https://www.sonicwall.com/support/product-notification/urgent-security-notice-netextender-vpn-client-10-x-sma-100-series-vulnerability/210122173415410/

Dies ist sehr ernst zu nehmen, denn
• Sonicwall wurde von einer APT Gruppe attackiert. Die Eindringlinge hatten Zugriff auf Code der NetExtender SSLVPN Schnittstelle. Damit hatten die Angreifer Zugriff auf eine nach Sonicwall ernstzunehmenden Schwachstelle
• Die einzige Mitigation ist es SSLVPN zu sperren oder einzuschränken – wobei dies für die meisten UseCases wohl nicht in Frage kommt.

Bitte sperren Sie sofort alle NetExtender Verbindungen über eine Firewall! Wir wissen wie schwer das ist, vor allem in Corona-Homeoffice-Zeiten, aber die Warnungen sind eindeutig und ernst.

Überblick
Betroffen:
• Sonicwall SMA 100series Firmware-Version 10.x
• Sonicwall Firewall mit aktiviertem SSLVPN
Mitigation
• Bei Sonicwall SMA 100 series: Zugriff auf SSLVPN Service über ein Firewall sperren
• Bei Sonicwall Firewall series: SSLVPN Service auf der Firewall deaktivieren
• Desweiteren empfiehlt Sonicwall 2FA auf Firewall, SMA und Mysonicwall zu aktivieren.

Ein erster Bericht: https://thehackernews.com/2021/01/exclusive-sonicwall-hacked-using-0-day.html

So erreichen Sie uns
• Per Email: [email protected]
• per Telefon +49 7665 932122 22

: : I M P R E S S U M : :
Data-Sec GmbH | Am Untergrün 6 | 79232 March |Tel 07665- 932 122- 0 | Fax 07665- 932 122- 99 |
E-Mail [email protected] | Web www.data-sec.net | Geschäftsführung: Nicolai Landzettel, Moritz Freiherr von Schwerin | Amtsgericht: Freiburg | HRB: 703075 | USt-ID: DE263201662 | Steuernummer: 07005/07504

UPDATE: Jan 25, 2021
Update zum Zero Day Angriff auf die SonicWALL VPN Produkte.
Durch ein schnelles und gezieltes Eingreifen des Herstellers SonicWALL kann aktuell für folgende Produkte eine Entwarnung gegeben werden.

Die Entwarnung gilt für:
• Alle Generationen der SonicWALL Firewalls. Hier ist kein Handeln notwendig.
• Der aktuelle NetExtender 10.X kann weiter ohne Bedenken genutzt werden. Hier gilt auch kein Handlungsbedarf.
• Auch für die Kunden der SonicWALL SMA 1000 Series (hierzu gehören SMA 6210, SMA 7210, SMA 8200v.) gilt Entwarnung. Auch hier gilt kein Handlungsbedarf.
• Ebenso gilt für SonicWall SonicWave APs kein Handlungsbedarf.

WICHTIG die Sicherheitswarnung gilt nach wie vor noch für SMA100series
• Die SMA 100 Series (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v) wird weiterhin auf eine Sicherheitsanfälligkeit untersucht. Direkte Updates zu diesem Vorfall finden Sie unter folgendem Link.
https://www.sonicwall.com/support/product-notification/210122173415410.

Sicherheitsempfelungen:
• Nutzen Sie den NetExtender, um über die SMA SMA 100 Series (SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v) einen Remotezugriff aufzubauen. Sollten Sie hierzu Hilfe benötigen steht Ihnen unser Support gerne unter +49 7665 932 122 22 oder via Email [email protected] zur Verfügung.
• Generell gilt für jeglichen Remotezugriff die absolute Empfehlung einer Multi Faktor Authentifizierung einzusetzen. Sollten Sie noch keine Multi Faktor Authentifizierung in Ihrem Unternehmen eingeführt haben, steht Ihnen unser Vetrieb bzw. unser Presales Team unter +49 7665 932 122 0 oder via Email [email protected] zur Verfügung.

Was können Sie darüber hinaus tun, wenn Sie nicht sicher sind, ob Ihr Unternehmen bereits kompromittiert ist.
Im Moment hilft uns das Produkt InsightIDR von Rapid7 dabei, Angriffe bei unseren Kunden aufzudecken.
Dieses Tool analysiert zuverlässig Ihr Netzwerkverhalten in Kombination mit einer pragmatischen und mehrfach Prämierten SIEM Lösung auf ungewöhnliches verhalten.
So können Forensiker oder Experten wie wir, Sie sehr schnell und gezielt unterstützen sollten hier irgendwelche Auffälligkeiten erkannt werden.

So erreichen Sie uns
• Per Email: [email protected]
• per Telefon +49 7665 932122 22