Neem contact op
Neem contact op
Maandelijks Dreigingsrapport SOC

Cyber Alerts November

Lees verder
Actueel / Pinewood Security Bulletin – Threat Actor Targets SonicWall SSL VPNs via Unknown Attack Vector [UPDATE]
Security Bulletin

Pinewood Security Bulletin – Threat Actor Targets SonicWall SSL VPNs via Unknown Attack Vector [UPDATE]

7 augustus 2025

 

 

For English, see below.

Update 7 augustus 2025

SonicWall heeft in het onderzoek naar de recente aanvallen met hoge mate van zekerheid vastgesteld dat er geen sprake is van een nieuwe kwetsbaarheid in SonicWall-devices. De aanvallen die nu plaatsvinden, misbruiken volgens SonicWall de kwetsbaarheid CVE-2024-40766 die al in augustus 2024 werd verholpen. Pinewood heeft hier in september 2024 een security bulletin over gestuurd nadat duidelijk werd dat de kwetsbaarheid toen al actief werd uitgebuit en niet alleen via de management interface, maar ook via de SSL VPN functionaliteit kon worden misbruikt.

Volgens SonicWall worden veel van de incidenten veroorzaakt doordat, bij de migratie van Gen 6 naar Gen 7, de wachtwoorden van lokale accounts niet zijn gereset. Dit laatste was een essentiële stap die ook in het originele beveiligingsadvies werd beschreven.

We hebben dit security bulletin aangepast om deze laatste bevindingen te verwerken.

Beschrijving

SonicWall heeft aangegeven dat er recent een toename is te zien in incidenten gericht op SonicWall Gen 7 firewalls, specifiek op devices waarop de SSL VPN-functionaliteit is ingeschakeld. De aanvallen maken misbruik van CVE-2024-40766, een kwetsbaarheid die al in augustus 2024 werd verholpen en die het mogelijk maakt om ongeautoriseerde toegang te verkrijgen. Misbruik van de kwetsbaarheid begon kort na het bekend worden ervan in 2024.

Het lijkt erop dat de recente incidenten met name verband houden met de Akira ransomware. Na initiële compromittatie van een SSL VPN-verbinding, zoeken de actoren achter deze ransomware binnen korte tijd naar mogelijkheden tot het verkrijgen van verhoogde rechten in het netwerk om vervolgens de ransomware te activeren.

Kwetsbare versies

De kwetsbaarheid bevindt zich in de Gen 5, Gen 6 en Gen 7 firewalls van SonicWall. De kwetsbaarheid is aanwezig in onderstaande versies van deze firewalls:

  • SOHO (Gen 5): versie 5.9.2.14-12o en eerder
  • Gen 6 firewalls: versie 6.5.4.14-109n en eerder
  • Gen 7 firewalls: build 7.0.1-5035 en eerder

Daarnaast zijn SonicWall-devices kwetsbaar indien niet alle stappen zijn doorlopen die SonicWall beschrijft in het beveiligingsadvies, ook als wel gebruik gemaakt wordt van een recente versie van de software. Dit is voornamelijk van toepassing indien een upgrade heeft plaatsgevonden van Gen 6 naar Gen 7.

Oplossingen en tijdelijke mitigaties

SonicWall heeft op 22 augustus 2024 diverse nieuwe versies van SonicOS uitgebracht om de betreffende kwetsbaarheid te verhelpen. Wij raden dan ook aan z.s.m. de laatste versie van SonicOS te installeren op kwetsbare devices, mocht dit nog niet gebeurd zijn. Hoewel inmiddels mogelijk nieuwere versies van SonicOS beschikbaar zijn, dient de versie in ieder geval minimaal te voldoen aan onderstaande versienummers:

  • SOHO (Gen 5): versie 5.9.2.14-13o of nieuwer
  • Gen 6 firewalls: 6.5.2.8-2n (M9800, NSsp 12400, NSsp 12800) of 6.5.4.15.116n (overige Gen 6 firewalls) of nieuwer
  • Gen 7 firewalls: versie >7.0.1-5035

Daarnaast raadt SonicWall gebruikers van Gen 5 en Gen 6 firewalls in combinatie met lokale accounts op deze systemen aan om de wachtwoorden op deze accounts te resetten door het inschakelen van de optie “User must change password” en gebruik te maken van multifactor-authenticatie voor alle SSL VPN-gebruikers (inclusief lokale accounts).

Naast het wijzigen van wachtwoorden, raadt SonicWall tevens aan om event logs voor SSL VPN-inlogactiviteit in te schakelen en lockout-mechanismen te implementeren om brute forcing van accounts te bemoeilijken.

Naar aanleiding van de recente aanvallen op SonicWall-devices, raadt SonicWall tenslotte ook aan gebruik te maken van ‘Botnet protection’ en ‘Geo-IP Filtering’, ongebruikte en inactieve accounts van het systeem te verwijderen en sterke wachtwoorden af te dwingen.

Detectie van mogelijk misbruik

Voor de initiële toegang breken de aanvallers in op de SSL VPN-service. Succesvolle inlogactiviteiten op de SSL VPN-service vanaf onbekende IP-adressen, vormen dan ook een indicatie van mogelijk misbruik. Dit is zeker het geval indien de inlogactiviteiten plaatsvinden vanaf een IP-adres waarvan bekend is dat deze in de aanvallen is ingezet. Zie voor een overzicht hiervan de afzonderlijke artikelen over deze aanvallen vanuit Huntress, Arctic Wolf en Field Effect.

In de bekende aanvallen maken de aanvallers – na initieel toegang te hebben verkregen – veelal misbruik van bekende technieken zoals het aanmaken van nieuwe accounts en het toekennen van “Domain Admin”-rechten aan accounts. Bestaande detectieregels kunnen daarom helpen om eventuele vervolgacties na de initiële compromittatie te herkennen.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center. Het SOC is bereikbaar via +31 (0)15 750 13 31 en via soc@pinewood.nl.

===== ENGLISH =====

Update August 7, 2025

In response to the recent attacks, SonicWall now concludes with a high degree of certainty that there is no new vulnerability in SonicWall devices. According to SonicWall, the current attacks are exploiting the previously known vulnerability CVE-2024-40766, which was already patched in August 2024. Pinewood issued a security bulletin about this in September 2024 after it became clear that the vulnerability was actively being exploited at that time, and not only via the management interface, but also through the SSL VPN functionality.

According to SonicWall, many of the incidents are caused by local account passwords not being reset during the migration from Gen 6 to Gen 7. This was an essential step that was also described in the original security advisory.

We have updated this security bulletin to reflect these latest findings.

Description

SonicWall has reported a recent increase in incidents targeting SonicWall Gen 7 firewalls, specifically on devices with SSL VPN functionality enabled. The attacks exploit CVE-2024-40766, a vulnerability that was patched in August 2024 and allows unauthorized access. Exploitation of the vulnerability began shortly after it became publicly known in 2024.

It appears that the recent incidents are mainly related to the Akira ransomware. After initially compromising an SSL VPN connection, the actors behind this ransomware quickly look for opportunities to gain elevated rights in the network and then activate the ransomware.

Vulnerable versions

The vulnerability exists in SonicWall Gen 5, Gen 6, and Gen 7 firewalls. The affected versions are:

  • SOHO (Gen 5): version 5.9.2.14-12o and earlier
  • Gen 6 firewalls: version 6.5.4.14-109n and earlier
  • Gen 7 firewalls: build 7.0.1-5035 and earlier

Additionally, SonicWall devices remain vulnerable if not all the steps described in SonicWall’s security advisory have been followed — even if a recent software version is in use. This is particularly relevant when an upgrade from Gen 6 to Gen 7 has taken place.

Solutions and workarounds

On August 22, 2024, SonicWall released several new versions of SonicOS to patch the vulnerability. We therefore strongly recommend installing the latest version of SonicOS on vulnerable devices if this has not already been done. While newer versions may now be available, the minimum required versions are:

  • SOHO (Gen 5): version 5.9.2.14-13o or later
  • Gen 6 firewalls: 6.5.2.8-2n (M9800, NSsp 12400, NSsp 12800) or 6.5.4.15.116n (other Gen 6 firewalls) or later
  • Gen 7 firewalls: version >7.0.1-5035

SonicWall also advises users of Gen 5 and Gen 6 firewalls who use local accounts on these systems to reset the passwords on these accounts by enabling the “User must change password” option and to use multi-factor authentication (MFA) for all SSL VPN users (including local accounts).

In addition to changing passwords, SonicWall also recommends enabling event logs for SSL VPN login activity, and implementing lockout mechanisms to make brute-force attacks more difficult.

In response to the recent attacks on SonicWall devices, SonicWall also recommends enabling ‘Botnet Protection’ and ‘Geo-IP Filtering’, removing unused and inactive accounts from the system, and enforcing the use of strong passwords.

Detection of possible misuse

For the initial access, the attackers break into the SSL VPN service. Successful login activities on the SSL VPN service from unknown IP addresses, therefore, indicate possible misuse. This is certainly the case if the login activities occur from an IP address known to have been deployed in the attacks. For an overview of this, see the separate articles on these attacks from Huntress, Arctic Wolf, and Field Effect.

In the known attacks, after initially gaining access, the attackers often exploit known techniques such as creating new accounts and assigning “Domain Admin” rights to accounts. Existing detection rules can therefore help to recognize any subsequent actions after the initial compromise.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center. The SOC can be contacted at +31 (0)15 750 13 31 and via soc@pinewood.nl.

 

Arthur van Vliet

Sales Manager

06 – 53 93 88 38

arthur.vanvliet@pinewood.nl

Contact
  • Delftechpark 35,
    2628 XJ Delft
  • 015 251 36 36
  • info@pinewood.nl
Social

© 2026 Pinewood