Haavoittuvuus17/2025
Viime päivien aikana SonicWall Gen 7 -palomuurituotteisiin liittyen on havaittu merkittävä määrä onnistuneita tietomurtoja sekä niiden yrityksiä eri tietoturvatoimijoiden raportoimana. Joissakin tapauksissa onnistuneita tietomurtoja on havaittu myös ajantasaisissa laitteissa. Toistaiseksi ei ole tiedossa, onko näissä tapauksissa kyseessä uusi nollapäivähaavoittuvuus vai aiemmin julkaistujen haavoittuvuuksien uudenlainen hyväksikäyttö. Päivitys 7.8.2025: Sonicwallin päivitetyn tiedotteen mukaan tähän liittyvää nollapäivähaavoittuvuutta ei ole löytynyt.
Haavoittuvuuden kohde
Haavoittuvuus koskee SonicWall Gen 7 palomuureja, joissa on SSLVPN toiminnallisuus käytössä
Tarkempia ohjelmiston versiotietoja ei ole tällä hetkellä tiedossa, mutta tuotteen valmistaja tutkii parhaillaan asiaa.
Mistä on kysymys?
SonicWall antoi 4. elokuuta 2025 varoituksen mahdollisesta nollapäivähaavoittuvuudesta Gen 7 SonicWall -palomuureissa. Hyökkääjä voi hyödyntää tätä haavoittuvuutta suorittaakseen mielivaltaista koodia haavoittuneessa laitteessa ja tunkeutua organisaation verkkoon toteuttaakseen esimerkiksi kiristyshaittaohjelmahyökkäyksen.
Päivitys 7.8.2025 >>>
SonicWall päivitti tiedotettaan ja ilmoitti että heidän selvitystensä mukaan havaittuun toimintaan ei liity nollapäivähaavoittuvuutta vaan sillä on yhteys CVE-2024-40766 haavoittuvuuteen, johon liittyen on julkaistu haavoittuvuustiedote 22.8.2024:
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015 (Ulkoinen linkki)
SonicWallin tekemien tutkintojen perusteella vaikuttaa, että monet onnistuneista tietomurroista liittyy Gen 6:sta Gen 7:ään siirtymisiin, joissa paikallisten käyttäjien salasanat siirtyivät mukana eikä niitä resetoitu. Salasanojen resetointi oli kriittinen vaihe, joka oli mainittu alkuperäisessä ohjeessa.
<<<
Haavoittuvuutta on havaittu hyödynnettävän jo aktiivisesti useiden eri lähteiden mukaan ja sen avulla on toteutettu useita tietomurtoja. Kyberturvallisuuskeskuksella ei ole tämän tiedotteen julkuisuhetkellä vielä tiedossa onnistuneita hyväksikäyttötapauksia Suomessa.
Haavoittuvuus koskee organisaatioita, jotka käyttävät kyseistä tuotetta.
Mitä voin tehdä?
SonicWall suosittaa tekemään seuraavat toimenpiteet laitteen suojaamiseksi:
Päivitys 7.8.2025 >>>
- Päivitä laiteohjelmisto versioon 7.3.0, joka sisältää parannettuja suojauksia brute-force -hyökkäyksiä vastaan ja lisää ominaisuuksia MFA hallintaan
- Resetoi kaikkien paikallisten käyttäjätilien salasanat, joilla on SSLVPN pääsy, erityisesti jos ne siirrettiin Gen 6:sta Gen 7:ään siirtymisen aikana
- Jatka aiemmin suositeltujen parhaiden käytäntöjen noudattamista:
- Ota SSLVPN pois käytöstä, jos se ei ole tarpeen
- Rajoita SSLVPN-yhteydet tunnettuihin IP-osoitteisiin
- Ota käyttöön Botnet Protection ja Geo-IP Filtering -ominaisuudet
- Ota käyttöön monivaiheinen tunnistautuminen (MFA)
- Poista käyttämättömät käyttäjätilit
- Suosi vahvoja salasanoja ja vaihda ne tarvittaessa
<<<
Kyberturvallisuuskeskus kehottaa lisäksi tarkistamaan kaikki verkossa olleet haavoittuvat SonicWall-palomuurilaitteet, joissa on ollut SSL VPN -toiminnallisuus käytössä, mahdollisten tietomurtojen varalta. Merkkejä onnistuneesta hyväksikäytöstä voivat olla esimerkiksi epäilyttävät kirjautumisyritykset paikallisilla käyttäjätunnuksilla tai muut poikkeavat merkinnät pääsylokeissa.
Päivitetty sisältö SonicWallin päivitetyn tiedotteen 7.8.2025 mukaiseksi.