Version 1.0: SonicWall SonicOS - Kritische Schwachstelle erlaubt unauthentifizierten Zugriff auf sensible Ressourcen

Beschreibung

Am 22. August 2024 veröffentlichte der Hersteller SonicWall ein Advisory zu einer kritischen Schwachstelle im Betriebssystem SonicOS, das u.a. in verschiedenen Firewalls zum Einsatz kommt. Die Sicherheitslücke CVE-2024-40766 soll es Angreifenden durch unsachgemäße Zugriffskontrolle (CWE-284) ermöglichen, ohne Authentifizierung Zugriff auf sensible Ressourcen zu erlangen und unter bestimmten Umständen Firewalls zum Absturz bringen zu können. Nach dem Common Vulnerability Scoring System (CVSS) wurde die Verwundbarkeit mit 9.3 ("kritisch") bewertet und betrifft den Management- und SSLVPN-Zugriff.

Am 6. September ergänzte der Hersteller sein Advisory um den Hinweis, dass möglicherweise bereits Ausnutzungen der Schwachstelle stattfinden und ebenfalls der SSLVPN-Zugriff betroffen sei. Weitere Details sind bislang nicht bekannt.