Beschrijving dreigingsbeeld
Op 29 juli meldde SonicWall een kwetsbaarheid in hun Gen 7 Firewall, gerelateerd aan de SSL VPN service. Hierna, op 1 augustus 2025, meldde het cybersecuritybedrijf Arctic Wolf een toename in Akira ransomware activiteit gericht op systemen die SonicWall firewalls gebruiken. Volgens hun analyse begon deze gerichte campagne al rond 15 juli 2025, waarbij aanvallers zich specifiek richten op omgevingen met Gen 7 SonicWall firewalls.
Op 4 augustus 2025 bevestigden zowel Huntress als Mandiant de aanwezigheid van een kwetsbaarheid in Gen 7 SonicWall Firewalls. Hoewel de technische details van de kwetsbaarheid nog niet publiek zijn gemaakt, is vastgesteld dat aanvallers initial access hebben kunnen krijgen tot onderliggende systemen, zelfs wanneer multi-factor authenticatie (MFA) was ingeschakeld op de Firewall.
| Gen 7 Producten | Type platform | |
____
|
Hardware Firewall
___
Virtual Firewall |
Tabel 1: Overzicht van de getroffen producten
Bronnen:
Actieplan
Het is belangrijk voor uw organisatie om ten minste de volgende stappen te nemen:
- Indien uw organisatie gebruikmaakt van een Gen 7 Firewall, is het van belang om vast te stellen of uw systemen kwetsbaar zijn. Controleer specifiek of de SSL VPN service is uitgeschakeld. Firewalls waarbij SSL VPN niet is geactiveerd, vallen buiten de scope van deze kwetsbaarheid.
- Indien uw systemen kwetsbaar blijken te zijn, adviseert NFIR om de getroffen firewalls te updaten naar de meest recente firmwareversie. Daarnaast wordt geadviseerd om de SSL VPN service uit te schakelen als tijdelijke mitigatie.
- Indien er indicaties zijn dat uw systemen kwetsbaar zijn adviseert NFIR om forensisch onderzoek uit te laten voeren om vast te stellen of uw omgeving gecompromitteerd is.
Zijn uw systemen kwetsbaar en heeft u systemen waarvan het risico groot is (bijvoorbeeld systemen met zeer gevoelige of bijzondere persoonsgegevens)? Zo ja, heeft u mogelijk indicaties dat het systeem niet direct gemitigeerd en/of geüpdatet kan worden? Overweeg dan om het systeem tijdelijk uit te schakelen totdat deze geüpdatet kan worden.
Heeft uw organisatie op dit moment een incident? Onze Computer Emergency Response Teams (CERT) staan 24/7 voor organisaties klaar om te ondersteunen bij IT- Security Incidenten.
Bel dan 088 133 0700 en wij doen ons uiterste best om u zo snel mogelijk te helpen. Hier vindt u meer informatie over onze Incident Response dienst.
Disclaimer: NFIR heeft er alles aan gedaan om deze informatie accuraat en betrouwbaar te maken. De verstrekte informatie is echter zonder enige garantie van welke aard dan ook en het gebruik ervan is geheel voor risico van de gebruiker. NFIR aanvaardt geen enkele verantwoordelijkheid of aansprakelijkheid voor de juistheid, de inhoud, de volledigheid, de rechtmatigheid of de betrouwbaarheid van de verstrekte informatie.