Update: Zero-Day-Schwachstelle in Management-Konsole von SonicWall

Die Warnmeldung wurde am 19. Dezember 2025 aufgrund weiterführender Informationen aktualisiert.

Betroffen ist die Version 12.4.3-02804 der SonicWall SMA 1000 Serie und alle früheren Versionen. Angreifende sind durch die Sicherheitslücke in der Lage, einen RCE-Angriff (Remote Code Execution) auszuführen. Dies kann eine vollständige Kompromittierung verwundbarer Systeme zur Folge haben.

SonicWall und das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnen vor dieser Sicherheitslücke. Die Lücke hat die Kennung CVE-2025-23006 und einen CVSS-Base-Score von 9.8/10.

Im Dezember 2025 kombinierten Angreifende diese Lücke mit der neuen Schwachstelle CVE-2025-40602 und attackierten SMA1000 Secure Mobile Access Appliances. Diese neue Schwachstelle liegt in der Appliance Management Console (AMC).

Exponierte Management-Schnittstellen sind grundsätzlich eine große Bedrohung für die IT-Sicherheit. Angreifende können solche Zugänge ausnutzen, um gezielt nach Sicherheitslücken zu suchen, sich Zugriff auf weitere IT-Systeme zu verschaffen und das IT-Netzwerk zu kompromittieren.

Durch einen Anstieg des mobilen Arbeitens (sog. Homeoffice) in den letzten Jahren ist die Verbreitung von Lösungen, die einen sicheren Fernzugriff ermöglichen, auch gewachsen. Deshalb sind Sicherheitslücken in diesen Produkten attraktive Ziele für Cyber-Angriffe.

Beachten Sie die Empfehlungen des BSI:

• Aktualisieren Sie SMA-1000-Geräte schnellstmöglich mit dem Patch 12.4.3-02854 oder höher.
• Schränken Sie bis zur Aktualisierung den Zugriff auf die betroffene Management-Konsole ein.
• Erlauben Sie nur vertrauenswürdigen Quellen den Zugriff auf die Appliance Management Console (AMC) und auf die Central Management Console (CMC).
• Da Angriffsversuche vermutlich bereits laufen, überwachen Sie SMA-1000-Firewalls verstärkt auf Anzeichen einer Kompromittierung. Kompromittierungsindikatoren (IoC: Indicator of Compromise) sind bislang allerdings nicht bekannt.