Die Cybersicherheitswelt steht erneut vor einer Herausforderung, nachdem SonicWall mehrere kritische Sicherheitslücken in seinen SMA 100 Secure Mobile Access (SMA) Geräten entdeckt und gepatcht hat. Diese drei Schwachstellen ermöglichen es Angreifern mit Zugriff auf SSL-VPN Benutzerkonten, sich unerlaubt Zugriffsrechte zu verschaffen und sogar potenziell schädlichen Code mit Root-Rechten auszuführen. Die Bekanntgabe der Sicherheitsupdates durch SonicWall unterstreicht die Bedeutung kontinuierlicher Wartung und Software-Updates, um moderne IT-Infrastrukturen gegen immer raffiniertere Angriffe zu schützen. Die betroffenen Geräte, darunter verschiedene Modelle der SMA 100 Serie wie SMA 200, 210, 400, 410 und 500v, stehen im Mittelpunkt dieser Sicherheitsproblematik. Der Angriff basiert darauf, dass authentifizierte Angreifer mittels Path-Traversal-Techniken die Grenzen des Dateisystems umgehen können.
Das bedeutet, dass sie gezielt auf Dateien und Systembereiche zugreifen können, die eigentlich geschützt sein sollten. Diese Schwachstellen sorgen dazu, dass Nutzer mit regulären SSL-VPN Zugriffsrechten Verwaltungsbefehle ausführen, Systemdateien überschreiben oder löschen und letztlich erweiterte Rechte erlangen können. Ein zentrales Problem ist die Möglichkeit für einen Angreifer, eine sensible Systemdatei zu löschen oder das System auf die Werkseinstellungen zurückzusetzen. Damit verbunden ist der Umstand, dass durch das Überschreiben geschützter Verzeichnisse die Integrität und Verfügbarkeit der Systeme massiv beeinträchtigt werden kann. Besonders gravierend ist, dass Angreifer durch geschicktes Ketten mehrerer Schwachstellen ihre Rechte eskalieren können, bis sie Root-Zugriff erhalten.
Dies versetzt sie in die Lage, beliebigen Code mit den höchsten Privilegien auf dem betroffenen Gerät auszuführen. In der Praxis bedeutet das ein erhebliches Sicherheitsrisiko für Unternehmen, die SonicWall SMA Geräte für ihre sichere Remote-Zugangs-Architektur nutzen. Die Attacken können nicht nur zu einer vollständigen Kompromittierung der VPN-Infrastruktur führen, sondern auch auf andere Systeme im Netzwerk übergreifen und dort erheblichen Schaden verursachen. Die Angreifer könnten beispielsweise Schadcode platzieren, vertrauliche Daten abgreifen oder sich dauerhaft Zugriff verschaffen, was hohe finanzielle und reputative Schäden nach sich ziehen kann. Die Schwachstellen wurden mit den Bezeichnungen CVE-2025-32819, CVE-2025-32820 und CVE-2025-32821 versehen, wobei aus Sicherheitskreisen hervorgeht, dass einige der Lücken bereits aktiv ausgenutzt wurden.
Besonders CVE-2025-32819 stellt eine Umgehung eines bereits früher bekannten Problems dar, welches ursprünglich im Dezember 2021 entdeckt wurde. Folgeangriffe, die anhand bekannter Indikatoren untersucht wurden, deuten darauf hin, dass Angreifer diese Schwachstellen für Zero-Day-Angriffe nutzten, obwohl SonicWall selbst keinen bestätigten Nachweis für eine breite Ausnutzung publizierte. Die technischen Details zeigen, wie Angreifer mit relativ geringen Berechtigungen innerhalb des SSL-VPNs über Path-Traversal-Sequenzen Verzeichnisse auf dem SMA-Gerät beschreibbar machen können. Dies ermöglicht es ihnen, schädliche, ausführbare Dateien in kritischen Systemordnern abzulegen. In einem weiteren Schritt können sie mit administrativen SSL-VPN-Rechten Kommandozeilenargumente manipulieren und so Dateien hochladen oder ausführbare Shell-Befehle einschleusen.
Der Angriff erfordert zwar zunächst einen authentifizierten Zugang, was die Gefahr allerdings keineswegs relativiert, da viele Unternehmen diese VPN-Zugänge Mitarbeitern, Partnern oder Dienstleistern zur Verfügung stellen. Um sich effektiv gegen diese Angriffe zu schützen, ist es essenziell, dass Anwender, IT-Administratoren und Sicherheitsverantwortliche die vom Hersteller veröffentlichten Patches unverzüglich einsetzen. SonicWall hat die Schwachstellen in der Firmware-Version 10.2.1.
15-81sv behoben und empfiehlt einen schnellen Wechsel darauf. Darüber hinaus sollten Unternehmen ihre Zugriffsverwaltung überdenken, den Benutzerzugriff restriktiv gestalten und dort, wo möglich, mehrstufige Authentifizierungsverfahren implementieren, um missbräuchliche Zugriffe frühzeitig zu verhindern. Die Veröffentlichung der Patches folgt auf eine Serie von Sicherheitsvorfällen bei SMA 100 Geräten, bei denen zunehmend kritische Schwachstellen identifiziert und teilweise aktiv genutzt wurden. Frühere Lücken, etwa CVE-2021-20035, CVE-2023-44221 und CVE-2024-38475, haben bereits für Aufmerksamkeit gesorgt. Die wiederholten Angriffe auf diese Plattform zeigen exemplarisch, wie attraktiv VPN-Lösungen für Angreifer sind, da sie direkten Zugang zu Netzwerken und sensiblen Informationen bieten.
Im Kontext der heutigen Bedrohungslage zeigt sich erneut, dass selbst Sicherheitsgeräte wie VPN-Gateways selbst angegriffen werden können und somit einen zentralen Angriffspunkt darstellen. Für IT-Sicherheitsstrategien sollte dies ein Weckruf sein, der den Fokus verstärkt auf die regelmäßige Überprüfung und zeitnahe Aktualisierung der Sicherheitsinfrastruktur legt. Nur so lässt sich verhindern, dass Systeme durch schnell ausnutzbare Schwachstellen kompromittiert werden. Experten, die sich mit Incident Response und Penetrationstests beschäftigen, raten dazu, kontinuierlich die vorhandenen Systeme auf verdächtige Aktivitäten zu scannen und bekannte Indikatoren von Kompromittierungen (IoCs) zu beobachten. Ergänzend macht es Sinn, Sicherheitsübersichten und Schwachstellenberichte von Herstellern und Sicherheitsforschern aktiv zu verfolgen.
