SonicWall, ein führender Anbieter von Netzwerksicherheitslösungen, hat die aktive Ausnutzung zweier bedeutender Sicherheitslücken bestätigt, die mehrere Modelle der SMA100 Secure Mobile Access (SMA) Serie betreffen. Diese Sicherheitsmängel, die auf Geräten von SMA 100 bis SMA 500v zu finden sind, wurden bereits gepatcht, werden jedoch offenbar weiterhin in der Praxis von Angreifern ausgenutzt. Die entdeckten Schwachstellen sind von besonderer Relevanz für Unternehmen und Organisationen, die SonicWall Appliances einsetzen, da sie ein hohes Risiko für unbefugte Zugriffe und sensible Datendiebstähle bergen. Im Folgenden werden die Hintergründe, technische Details und Schutzmaßnahmen näher beleuchtet. Die erste Schwachstelle, dokumentiert unter CVE-2023-44221, ist eine sogenannte OS-Command Injection im Management-Interface der SMA100-Serie.
Konkret handelt es sich dabei um die fehlerhafte Neutralisierung spezieller Steuerzeichen in der SSL-VPN Verwaltung. Das erlaubt einem authentifizierten Angreifer mit administrativen Rechten, beliebige Befehle auf dem Betriebssystemniveau als 'nobody'-Benutzer auszuführen. Die Schwachstelle besitzt einen CVSS-Score von 7.2 und wurde mittels eines Patch-Updates am 4. Dezember 2023 behoben.
Die zweite und gravierendere Schwachstelle ist unter CVE-2024-38475 auszumachen. Diese betrifft den mod_rewrite Mechanismus im Apache HTTP Server der Version 2.4.59 und älter, der in den betroffenen SonicWall Appliances zum Einsatz kommt. Durch unsachgemäße Behandlung von URL-Weiterleitungen können Angreifer URLs so manipulieren, dass diese unautorisierten Zugriff auf Datei-Systempfade ermöglichen.
Mit einem CVSS Score von 9.8 handelt es sich um eine kritische Schwachstelle, deren Ausnutzung unter Umständen zu einer vollständigen Kompromittierung der Geräte führt. Auch diese wurde mit einer Firmware-Aktualisierung am 4. Dezember 2024 adressiert. Sicherheitsforscher und das Unternehmen selbst haben seit der Veröffentlichung der Updates im Dezember 2024 eine aktive Ausnutzung dieser Schwachstellen festgestellt.
Am 29. April 2025 meldete SonicWall außerdem, dass durch die Exploitation von CVE-2024-38475 ein zusätzlicher Angriffspfad eröffnet wurde, der es ermöglicht, auf sensible Dateien zuzugreifen und Session-Hijacking durchzuführen. Diese Methode macht es Angreifern theoretisch möglich, Administrator-Sitzungstoken zu entwenden und so Kontrolle über die Appliance zu erlangen, ohne erneut authentifizieren zu müssen. Die konkrete Angriffstechnik verbindet beide Schwachstellen in einer Exploit-Kette, wie sie von unabhängigen Sicherheitsexperten dokumentiert wurde. So können zuerst über CVE-2024-38475 Zugangsmechanismen ausgehebelt werden, um sich dann mittels CVE-2023-44221 beliebige Betriebssystembefehle auszuführen.
Die IT-Sicherheitsfirma watchTowr Labs veröffentlichte außerdem eine proof-of-concept Demonstration unter dem Codenamen SonicBoom, die zeigt, wie diese Exploits in der Praxis zusammenspielen. Die Bedrohung ist real und aktuell. Sowohl die US-amerikanische Cybersicherheitsbehörde CISA als auch zahlreiche Sicherheitsforscher raten ausdrücklich dazu, betroffene Systeme schnellstmöglich auf die vom Hersteller bereitgestellten Firmware-Versionen zu aktualisieren. Für US-Bundesbehörden wurde eine verpflichtende Patchfrist bis zum 22. Mai 2025 gesetzt.
Über diese offiziellen Stellungnahmen hinaus bleibt noch vieles unklar: So sind Details zur Angriffsmasche, verwendeten Exploit-Werkzeugen, konkreten Zielgruppen und der Verbreitung der Attacken kaum bekannt oder werden aus Sicherheitsgründen zurückgehalten. Es existieren allerdings Hinweise darauf, dass hochsensible Organisationen mit kritischer Infrastruktur bereits kompromittiert wurden. Die Tragweite zeigt sich darin, dass die Schwachstellen nicht nur technisch komplex sind, sondern auch insofern gefährlich, da sie in einer zentralen Komponente für sicheren Fernzugriff – dem SSL-VPN Management Interface – vorhanden waren. Gerade in Zeiten, in denen Homeoffice und mobiles Arbeiten weiter zunehmen, ist die Absicherung dieser Fernzugriffsapplikationen von existenzieller Bedeutung. Unternehmen sollten unmittelbar prüfen, ob sie eine der betroffenen SonicWall SMA Appliance Versionen betreiben.
Ist dies der Fall, empfiehlt sich neben dem unverzüglichen Einspielen der Sicherheitsupdates eine umfassende Analyse der Logdateien auf unautorisierte Zugriffe. Zusätzlich sollte geprüft werden, ob sich unbekannte oder ungeklärte Administrator-Sitzungen in den letzten Monaten gebildet haben. Da oft Exploits dieser Art schon seit längerer Zeit unbemerkt ausgenutzt werden, sind schnelle und gründliche Gegenmaßnahmen essenziell, um Folgeschäden wie Datendiebstahl oder Sabotage zu verhindern. Neben den technischen Maßnahmen empfiehlt es sich für Unternehmen, das Netzwerksegment der SMA Appliance besonders zu überwachen und ggf. Firewall-Regeln zu verschärfen, um den Zugriff bestmöglich einzuschränken.
Kontinuierliche Updates und Schwachstellen-Scans sollten integraler Bestandteil der Sicherheitsstrategie sein, um zukünftige Risiken frühzeitig zu erkennen und zu entschärfen. Ein weiteres Element ist die Sensibilisierung der verantwortlichen Administratoren für potenzielle Phishing-Angriffe oder Social-Engineering-Tricks, die oftmals als Vorstufe zur Ausnutzung solcher Schwachstellen dienen. Insgesamt zeigt der Fall, wie kritisch eine robuste Softwareentwicklung und ein stringentes Patchmanagement für Netzwerksicherheitsprodukte ist. Die Kombination von Open-Source-Komponenten wie Apache HTTP Server mit proprietären Systemen eröffnet diverse Angriffsflächen. Daher sind Hersteller in der Pflicht, ihre Produkte regelmäßig auf Schwachstellen zu prüfen und schnellstmöglich Abhilfemaßnahmen bereitzustellen.
Nutzer wiederum sind gefordert, Sicherheitsupdates unverzüglich zu installieren und ihre Systeme zu monitoren. SonicWalls Bestätigung der aktiven Ausnutzung und die nachfolgende Aufnahme der Schwachstellen in die bekannte Exploit-Datenbank KEV unterstreichen die Dringlichkeit dieser Problematik. Cyberkriminelle nutzen selbst vermeintlich einfache Angriffsvektoren, um tief in Netzwerke einzudringen. Gerade Unternehmen im kritischen Sektor sollten ihre Sicherheitsarchitektur perfekt abstimmen und Sicherheitslücken sofort schließen. Nur so lassen sich Schäden minimieren und digitale Assets wirksam schützen.
Abschließend lässt sich festhalten, dass die jüngsten Vorfälle ein Weckruf für die gesamte IT-Sicherheitsbranche sind. Die aktive Ausnutzung von CVE-2023-44221 und CVE-2024-38475 offenbart Schwachstellen, die auf verschiedenen Ebenen adressiert werden müssen: durch technische Updates, organisatorische Verbesserungen der Sicherheitsprozesse und die stetige Schulung von IT-Personal. Nur durch ein ganzheitliches Vorgehen lassen sich heutige und zukünftige Bedrohungen effizient abwehren und die Integrität digitaler Infrastrukturen sicherstellen. Damit sollten auch Anwender von SonicWall SMA Appliances ihre Sicherheitsmaßnahmen dringend überprüfen und gegebenenfalls anpassen, um die Sicherheit ihrer Systeme zu gewährleisten.
