Update: Ransomware-Angriffe auf SonicWall Gen 7 Firewalls

Die Warnmeldung wurde am 8. August 2025 aufgrund weiterführender Informationen aktualisiert. 

Das BSI publizierte am 5. August 2025 einen Sicherheitshinweis zu Ransomware-Angriffen auf Gen 7 Firewalls mit aktiviertem SSL-VPN des Herstellers SonicWall. Laut BSI sei es Angreifenden gelungen, SonicWall-Firewalls trotz aktuellen Patch-Ständen und aktivierter Multi-Faktor-Authentifizierung (MFA) zu kompromittieren. Dies sei durch abgeflossene Zugangsdaten für Admin-Konten möglich gewesen.

Dem BSI zufolge seien SonicWall Gen 7 Firewalls mit aktiviertem SSL-VPN der TZ- und NSa-Serie mit den Firmware-Versionen 7.2.0-7015 und niedriger betroffen. Laut SonicWall werden rund 470 SonicWall-Firewalls mit aktivem SSL-VPN-Feature in Deutschland betrieben.

Laut einer Meldung von SonicWall vom 6. August 2025 sei für die Ransomware-Angriffe keine neue Zero-Day-Schwachstelle ausschlaggebend gewesen, sondern die bereits bekannte Sicherheitslücke CVE-2024-40766 mit CVSS-Score 9.8/10. Hierzu veröffentlichte das BSI bereits am 22. August 2024 eine Cyber-Sicherheitswarnung, die Sie unten verlinkt finden.

Das BSI stellt in seinem unten verlinkten BSI-IT-Sicherheitshinweis Mitigationsmaßnahmen und Verweise zu Kompromittierungsindikatoren (Indicators of Compromise: IoCs) bereit.

• Aktualisieren Sie Ihre SonicWall-Firewall auf SonicOS 7.3.0 oder höher.
• Setzen Sie alle Passwörter von lokalen Nutzern mit SSL-VPN-Zugriff zurück.
• Setzen Sie zudem präventiv die Passwörter von LDAP-Konten zurück, die für die Active Directory Integration verwendet werden.
• Aktivieren Sie weiterhin den Botnet-Schutz und Geo-IP Filter, um Zugriffe bekannter Angreifer-IPs zu blockieren bzw. zu detektieren.
• Entfernen Sie inaktive Nutzerkonten.
• Erzwingen Sie eine Nutzung von MFA und komplexen Passwörtern.
• Nutzen Sie die Empfehlungen von SonicWall zur weiteren Härtung der Firewall-Konfiguration.