SonicWall hat offiziell bestätigt, dass die jüngsten Akira Ransomware-Angriffe nicht auf eine unbekannte Zero-Day-Schwachstelle zurückzuführen sind. Nach einer umfassenden Analyse von 40 Sicherheitsvorfällen stellte das Unternehmen fest, dass Cyberkriminelle eine bereits bekannte und gepatchte Sicherheitslücke ausnutzten.
CVE-2024-40766: Die wahre Ursache der SonicWall-Kompromittierungen
Die interne Untersuchung von SonicWall ergab, dass Akira-Operatoren die Schwachstelle CVE-2024-40766 ausnutzten, die bereits im August 2024 identifiziert und behoben wurde. Diese kritische Sicherheitslücke betrifft das SSL VPN-Zugriffskontrollsystem in SonicOS und ermöglicht es Angreifern, unbefugten Zugang zu geschützten Unternehmensnetzwerken zu erlangen.
Ein SonicWall-Sprecher erklärte: „Die jüngsten SSL VPN-Aktivitäten standen nicht im Zusammenhang mit einer Zero-Day-Schwachstelle. Es besteht eine klare Korrelation mit dem Problem CVE-2024-40766, das im Sicherheitsbulletin SNWLID-2024-0015 öffentlich dokumentiert wurde.“
Angriffsmechanismus der kritischen Schwachstelle
Die CVE-2024-40766-Schwachstelle ermöglicht es Cyberkriminellen, aktive Benutzersitzungen zu kapern und VPN-Zugang zu Unternehmensinfrastrukturen zu erlangen, ohne Anmeldedaten zu kennen. Nach der öffentlichen Bekanntgabe dieser Sicherheitslücke 2024 wurde sie aktiv von verschiedenen Ransomware-Gruppen, einschließlich Akira und Fog, ausgenutzt.
Erste Einschätzungen der Sicherheitsexperten
Am 15. Juli 2025 dokumentierten Arctic Wolf-Analysten eine Angriffswelle mit Akira Ransomware auf SonicWall Gen 7-Firewalls. Zunächst vermuteten Spezialisten den Einsatz einer unbekannten Zero-Day-Schwachstelle, was zu Empfehlungen für die vorübergehende Deaktivierung von SSL VPN-Diensten führte.
Forscher von Huntress bestätigten diese Beobachtungen durch einen detaillierten Bericht mit Kompromittierungsindikatoren und technischen Details der Angriffskampagne.
Migrationsfehler als Hauptursache erfolgreicher Angriffe
Die SonicWall-Untersuchung zeigte, dass die meisten erfolgreichen Angriffe auf fehlerhafte Migrationsprozesse von Gen 6- auf Gen 7-Firewalls zurückzuführen waren. Der kritische Fehler lag in der Übertragung lokaler Benutzerpasswörter ohne anschließende Zurücksetzung.
SonicWall-Experten erklären: „Viele Vorfälle standen im Zusammenhang mit Migrationen, bei denen lokale Benutzerpasswörter übertragen und nicht zurückgesetzt wurden. Das Zurücksetzen von Passwörtern war eine zentrale Sicherheitsanforderung, die im ursprünglichen Bulletin spezifiziert wurde.“
Sofortmaßnahmen zur Schwachstellen-Behebung
Zum Schutz vor weiteren Angriffen empfiehlt SonicWall die sofortige Umsetzung folgender Maßnahmen:
Firmware-Updates auf Version 7.3.0 oder höher, die verstärkte Multifaktor-Authentifizierung und Schutz vor Brute-Force-Angriffen beinhalten. Zwangsweise Zurücksetzung aller lokalen Benutzerpasswörter, insbesondere für SSL VPN-Zugriffskonten.
Kritik aus der IT-Community
Reddit-Nutzer äußern Skepsis gegenüber SonicWalls offiziellen Aussagen. Einige Systemadministratoren berichten von kompromittierten Konten, die erst nach der Migration auf Gen 7-Geräte erstellt wurden, was der offiziellen Herstellerversion widerspricht.
Dieser Vorfall unterstreicht die kritische Bedeutung zeitnaher Sicherheitsupdates und der strikten Befolgung von Herstellerempfehlungen bei Gerätemigrationen. Organisationen sollten ihre Sicherheitssysteme regelmäßig auditieren und bekannte Schwachstellen umgehend beheben, um erfolgreiche Ransomware-Angriffe zu verhindern. Die konsequente Umsetzung von Sicherheitsrichtlinien und die ordnungsgemäße Konfiguration von VPN-Systemen bleiben essentiell für den Schutz vor fortgeschrittenen Cyberbedrohungen.
