Siirry pääsisältöön
Etusivu: Kyberturvallisuuskeskus
Etusivu: Kyberturvallisuuskeskus
Siirry hakuunHae
Suomi
Valikko

SonicWall Gen 7 -palomuurien SSLVPN-haavoittuvuutta hyväksikäytetään tietomurroissa

Haavoittuvuus17/2025

Julkaistu
Päivitetty

Viime päivien aikana SonicWall Gen 7 -palomuurituotteisiin liittyen on havaittu merkittävä määrä onnistuneita tietomurtoja sekä niiden yrityksiä eri tietoturvatoimijoiden raportoimana. Joissakin tapauksissa onnistuneita tietomurtoja on havaittu myös ajantasaisissa laitteissa. Toistaiseksi ei ole tiedossa, onko näissä tapauksissa kyseessä uusi nollapäivähaavoittuvuus vai aiemmin julkaistujen haavoittuvuuksien uudenlainen hyväksikäyttö. Päivitys 7.8.2025: Sonicwallin päivitetyn tiedotteen mukaan tähän liittyvää nollapäivähaavoittuvuutta ei ole löytynyt.

Haavoittuvuuden kohde

Haavoittuvuus koskee SonicWall Gen 7 palomuureja, joissa on SSLVPN toiminnallisuus käytössä

Tarkempia ohjelmiston versiotietoja ei ole tällä hetkellä tiedossa, mutta tuotteen valmistaja tutkii parhaillaan asiaa.

Mistä on kysymys?

SonicWall antoi 4. elokuuta 2025 varoituksen mahdollisesta nollapäivähaavoittuvuudesta Gen 7 SonicWall -palomuureissa. Hyökkääjä voi hyödyntää tätä haavoittuvuutta suorittaakseen mielivaltaista koodia haavoittuneessa laitteessa ja tunkeutua organisaation verkkoon toteuttaakseen esimerkiksi kiristyshaittaohjelmahyökkäyksen.

Päivitys 7.8.2025 >>>

SonicWall päivitti tiedotettaan ja ilmoitti että heidän selvitystensä mukaan havaittuun toimintaan ei liity nollapäivähaavoittuvuutta vaan sillä on yhteys CVE-2024-40766 haavoittuvuuteen, johon liittyen on julkaistu haavoittuvuustiedote 22.8.2024:

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015 (Ulkoinen linkki)

SonicWallin tekemien tutkintojen perusteella vaikuttaa, että monet onnistuneista tietomurroista liittyy Gen 6:sta Gen 7:ään siirtymisiin, joissa paikallisten käyttäjien salasanat siirtyivät mukana eikä niitä resetoitu. Salasanojen resetointi oli kriittinen vaihe, joka oli mainittu alkuperäisessä ohjeessa.

<<<

Haavoittuvuutta on havaittu hyödynnettävän jo aktiivisesti useiden eri lähteiden mukaan ja sen avulla on toteutettu useita tietomurtoja. Kyberturvallisuuskeskuksella ei ole tämän tiedotteen julkuisuhetkellä vielä tiedossa onnistuneita hyväksikäyttötapauksia Suomessa.

Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.

Mitä voin tehdä?

SonicWall suosittaa tekemään seuraavat toimenpiteet laitteen suojaamiseksi:

Päivitys 7.8.2025 >>>

  1. Päivitä laiteohjelmisto versioon 7.3.0, joka sisältää parannettuja suojauksia brute-force -hyökkäyksiä vastaan ja lisää ominaisuuksia MFA hallintaan
  2. Resetoi kaikkien paikallisten käyttäjätilien salasanat, joilla on SSLVPN pääsy, erityisesti jos ne siirrettiin Gen 6:sta Gen 7:ään siirtymisen aikana
  3. Jatka aiemmin suositeltujen parhaiden käytäntöjen noudattamista:
    • Ota SSLVPN pois käytöstä, jos se ei ole tarpeen
    • Rajoita SSLVPN-yhteydet tunnettuihin IP-osoitteisiin
    • Ota käyttöön Botnet Protection ja Geo-IP Filtering -ominaisuudet
    • Ota käyttöön monivaiheinen tunnistautuminen (MFA)
    • Poista käyttämättömät käyttäjätilit
    • Suosi vahvoja salasanoja ja vaihda ne tarvittaessa

<<<

Kyberturvallisuuskeskus kehottaa lisäksi tarkistamaan kaikki verkossa olleet haavoittuvat SonicWall-palomuurilaitteet, joissa on ollut SSL VPN -toiminnallisuus käytössä, mahdollisten tietomurtojen varalta. Merkkejä onnistuneesta hyväksikäytöstä voivat olla esimerkiksi epäilyttävät kirjautumisyritykset paikallisilla käyttäjätunnuksilla tai muut poikkeavat merkinnät pääsylokeissa.

SonicWallin tiedote ja ohjeet (Ulkoinen linkki)
Päivitysohje SonicOS 7.3.0 versioon (Ulkoinen linkki)
Huntress Threat Advisory: Active Exploitation of SonicWall VPNs (Ulkoinen linkki)
Arctic Wolf Observes July 2025 Uptick in Akira Ransomware Activity Targeting SonicWall SSL VPN (Ulkoinen linkki)

Päivitetty sisältö SonicWallin päivitetyn tiedotteen 7.8.2025 mukaiseksi.