Urgent Security Notice: NetExtender VPN Client 10.x, SMA 100 Series Vulnerability
Sehr geehrte Kunden,
SonicWall hat ein Security Advisory bzgl. einer Schwachstelle in NetExtender VPN Clients (Version 10-x) sowie in der Firmware (Version 10.x) der SMA 100 Series Appliances veröffentlicht. Nachfolgend finden Sie Infos was genau passiert ist und was Sie tun müssen, um sich zu schützen.
Aufgrund der aktuellen Situation des Lockdowns mit vielen Mitarbeitern im Home Office, ist das Thema besonders sensitiv und wichtig!
Was ist passiert?
Vor kurzem hat SonicWall einen koordinierten Angriff auf seine internen Systeme durch hochentwickelte Bedrohungsakteure identifiziert, die wahrscheinliche Zero-Day-Schwachstellen für bestimmte sichere SonicWall-RAS-Produkte ausnutzen.
Welche Produkte sind betroffen?
- NetExtender VPN Client Version 10.x (released in 2020) der für VPN Verbindungen zu SMA 100 Series Appliances und SonicWall Firewalls verwendet wird
- Secure Mobile Access (SMA) Version 10.x die auf SMA 200, SMA 210, SMA 400, SMA 410 Appliances sowie auf den SMA 500v Virtual Appliance verwendet wird
Welche Produkte sind NICHT betroffen?
Die Secure Mobile Acccess (SMA) 1000 Series – SMA 7200, SMA 6200, SMA 6210, SMA 7210 sowie die SMA 8200v sind von dieser Schwachstelle NICHT betroffen!
Welche Maßnahmen müssen/können Sie ergreifen?
SonicWall hat einen Knowledge Base Eintrag veröffentlich in dem die möglichen Maßnahmen beschrieben werden, die Sie ergreifen können, um sich zu schützen.
Infos dazu finden Sie hier: Urgent Security Notice: NetExtender VPN Client 10.x, SMA 100 Series Vulnerability
Für die SMA 100 Serie:
- Verwenden Sie eine Firewall, um SSL-VPN-Verbindungen zur SMA-Appliance nur von bekannten / Whitelist-IPs zuzulassen
- oder konfigurieren Sie den Whitelist-Zugriff direkt auf der SMA
Infos dazu finden Sie hier: How to restrict access for NetExtender / Mobile Connect users based on policy for IP address?
Für Firewalls mit SSL-VPN-Zugriff über NetExtender VPN Client Version 10.x.:
- Deaktivieren Sie den NetExtender-Zugriff auf die Firewall(s) oder beschränken Sie den Zugriff auf Benutzer und Administratoren über eine Allowliste / Whitelist für ihre öffentlichen IP-Adressen
Infos dazu finden Sie hier: How do I configure the SSL-VPN feature for use with NetExtender or Mobile Connect?
MFA muss auf ALLEN SonicWall SMA-, Firewall- und MySonicWall-Konten aktiviert sein
Infos dazu finden Sie hier:
How to configure two-factor authentication using TOTP for HTTPS Management
How do I configure 2FA for SSL VPN with LDAP and TOTP?
How can I configure Time-Based One Time Password (TOTP) in SMA 100 series?
Was bedeuten die Maßnahmen für mich?
Wir möchten die oben beschriebenen Maßnahmen noch einmal etwas genauer beleuchten, kommentieren und Ihnen eine Hilfestellung bei der Interpretation geben, damit Sie danach die für Sie richtigen Schritte ableiten können.
- Betroffen ist vorallem der NetExtender Client (Version 10.x); d.h. wenn Sie derzeit nur die Reverse Proxy Funktion (Web-Portal) der SMAs oder der Firewalls verwenden trifft das Problem nicht zu
- Sofern Sie jedoch den NetExtender Client (Version 10.x) verwenden, empfielt SonicWall die Einschränkung der Quell-IP Adressen von denen sich die Clients verbinden. Dies ist unseres Erachtens nach nicht möglich, da die Clients in der Regel dynamische, öffentliche IP Adressen haben, die sich kontinulierlich verändert. Eine mögliche Maßnahme ist die Aktivierung des GEO-IP Filters, mit dem Sie nur Zugriffe aus bestimmten Ländern (z.B. nur aus Deutschland) zulassen. Jedoch ist dies keine wirklich wirksame Methode mögliche Angreifer abzuhalten. Im Klartext bedeutet das, Sie müssen mit der aktuellen Situation leben oder Sie schalten Ihren VPN Zugang ab!
- Darüber hinaus ist aber auch die Firmware der SMA 100 Series Appliances selbst betroffen. Deshalb empfiehlt SonicWall zum Schutz des Zugriffs die Aktivierung der MFA Funktion auf den SMAs als auch den Firewalls. Das Feature ist kostenfrei enthalten und kann recht schnell aktiviert werden. Ihre Anwender benötigen zur Benutzung lediglich ein SmartPhone mit einer kostenfreien MFA-App wie z.B. dem Google oder Microsoft Authenticator.
- Darüber hinaus empfielt SonicWall auch die Aktivierung der MFA Funktion in MySonicWall! Dies sollten Sie auf jeden Fall tun. Diese Maßnahme hat keinen Einfluss auf Ihre SMAs und Firewalls.
Sie haben noch Fragen?
Sollten Sie noch Fragen zu diesem Posting haben, wenn Sie Unterstützung bei der Umsetzung von Schutzmaßnahmen benötigen oder Sie Support bei der Konfiguration Ihrer SonicWall Appliances haben, stehen wir Ihnen natürlich gerne zur Verfügung! Rufen Sie uns einfach an: +49 6201 71009 0 oder schicken Sie uns eine Mail an customer-service@choin.net
Ihr choin! Security Team