Netwerkfabrikant waarschuwt klanten: ransomware in aantocht

SonicWall waarschuwt openlijk dat gebruikers van oudere netwerkapparaten op korte termijn doelwit worden van een ransomwarecampagne. De fabrikant heeft informatie van een vertrouwde derde partij dat kwaadwillenden inloggegevens hebben gestolen en een aanval opzetten met gebruik van een bekende kwetsbaarheid. Dit beveiligingsgat is niet gedicht in de oudere apparatuur, en gaat dat ook niet worden.

Jasper BakkerredacteurMeer van deze auteur

SonicWall-netwerkgateway, remote access — © SonicWall

SonicWall

De waarschuwing geldt namelijk voor apparaten waarop oudere firmware draait die officieel end-of-life (EOL) is. De leverancier biedt dus geen ondersteuning meer op die besturingssoftware van de netwerkhardware. De aanvallers die op het punt staan om een ransomwarecampagne te starten, mikken op gateways en appliances van SonicWall die de 8.x-reeks van firmware draaien.

Nú ontkoppelen, uitschakelen

Het dringende advies aan gebruikers van deze ongepatchte systemen voor toegang op afstand, inclusief VPN-toegang, is ze onmiddellijk te ontkoppelen. Voor sommige modellen van de hardware is het wel mogelijk om de oudere firmware bij te werken naar de 9.x- of 10.x-firmware. Die nieuwere reeksen genieten nog wel ondersteuning.

In de waarschuwing stipt fabrikant SonicWall nog aan dat gebruikers met 9.x- en 10.x-firmware hun systemen goed moeten controleren of die wel up-to-date zijn. Er is namelijk begin dit jaar een kwetsbaarheid ontdekt voor sommige apparaten (in de SMA-serie van Secure Mobile Access-systemen). Daarvoor is dus wel een patch beschikbaarheid.

Standaardinlogs?

SonicWall geeft vooralsnog geen nadere uitleg over het beveiligingsgat in de 8.x-reeks waar afpersers zich op storten. Het laat wel los dat die kwetsbaarheid is gepatched in nieuwere versies van de firmware. Over de gestolen inloggegevens waarmee de aanvallers hun ransomwarecampagne willen beginnen, geeft SonicWall ook geen details. Gebruikers krijgen wel het advies om onmiddellijk alle inlogs te resetten voor accounts die zijn gelinkt aan hun SMA- of SRA-apparaten (Secure Remote Access).

Eind vorig jaar is bij netwerkfabrikant Zyxel ontdekt dat bepaalde modellen firewalls voor middelgrote en kleine bedrijven een ingebouwd backdooraccount hadden. Deze hardgecodeerde inlog zat in de firmware van de fabrikant. Het wachtwoord hiervoor zat ook ingebakken en was niet te wijzigen. Het is momenteel niet duidelijk of een dergelijk scenario ook speelt bij SonicWall.

Via eigen gateway gehackt

Begin dit jaar heeft NCC Group, moederbedrijf van de Nederlandse securityspecialist Fox-IT, al wel gewaarschuwd voor kwetsbaarheden in de SMA-systemen van SonicWall. Actief misbruik daarvan is toen al waargenomen. De fabrikant heeft vervolgens patches uitgebracht, voor de 9.x- en 10.x-reeksen van zijn firmware. Kort voor de waarschuwing door NCC heeft SonicWall gemeld dat het zelf aangevallen is. Daarbij zijn interne systemen gehackt, waarschijnlijk via een zeroday-kwetsbaarheid in de eigen SMA-systemen.