597.000 Scans: Hacker greifen SonicWall-Firewalls aktiv an

Dies entspricht einer etwa 46-fachen Steigerung im Vergleich zur durchschnittlichen täglichen Aktivität, die über die vorherigen beobachtet wurde.

Dies stellt das höchste Einzeltagesvolumen dar, das seit im SonicWall SonicOS API Scanner-Tag verzeichnet wurde, und deutet auf koordinierte, großangelegte Aufklärungsmaßnahmen gegen exponierte Firewall-Interfaces hin. Hacker scannen SonicWall-Firewalls.

Forscher, dass ein ähnlicher Anstieg zu Beginn dieses Jahres der Offenlegung der CVE-2026-0400 vorausging, einer Schwachstelle in SonicWall, die am 24. Februar 2026 bekannt gegeben wurde. Besonders hervorzuheben ist, dass die Spitzen am 18. Januar, 30. Januar und 14. Februar jeweils 37, 25 bzw. vor dieser Offenlegung auftraten.

Sicherheitslage und Risiko

Obwohl diese Korrelation keine neue Schwachstelle bestätigt, spiegelt sie ein wiederkehrendes Muster wider, bei dem Angreifer vor einer öffentlichen Offenlegung oder Ausnutzungskampagnen ihre Erkundungsaktivitäten erhöhen.

GreyNoise betont, dass die aktuelle Spitze ein Signal und keine Vorhersage darstellt, jedoch möglicherweise frühe Phasen der Aufklärung repräsentiert.

Die Analyse des GreyNoise-Scanverkehrs zeigt konsistente Werkzeuge und Infrastruktur: Werkzeuge: Fast 99 % der Anfragen verwenden einen Chrome 119 User-Agent unter Linux x86_64, was früheren Kampagnen entspricht, bei denen 94,5 % des Verkehrs dieselbe Fingerprint aufwiesen.

Technik und Auswirkungen

Quellinfrastruktur: Rund 56 % des Verkehrs stammen aus Netzwerken in den Niederlanden und 44 % aus der Ukraine, was mehr als 99 % der beobachteten Sitzungen ausmacht. ASN-Konzentration: Ein einzelnes autonomes System (AS211736) trägt etwa die Hälfte des gesamten Scan-Volumens bei.

Zielgerichtete Dienste: Die Ports 80 und 8080 (HTTP) werden fast ausschließlich angegriffen, was auf einen Fokus auf webbasierte Verwaltungsinterfaces hindeutet. Klassifizierung: Die Mehrheit der Quell-IPs wird ächtig eingestuft.

Sicherheitsteams, die SonicWall-Geräte einsetzen, sollten unverzüglich Vorsichtsmaßnahmen ergreifen, um die Angriffsfläche zu verkleinern und sich auf potenzielle Ausnutzungsversuche vorzubereiten: Beschränken Sie den Zugriff auf die SonicOS-Verwaltungs-API und den SSL-VPN-Zugang ausschließlich auf vertrauenswürdige IP-Bereiche.

Technischer Hintergrund

Entfernen Sie die öffentliche Zugänglichkeit für alle SSL-VPN-Nutzer die Mehrfaktorauthentifizierung (MFA). Prüfen Sie die Systeme auf unbefugte Administratorkonten, die nach dem 1. Mai 2026 erstellt wurden. Implementieren Sie dynamische IP-Sperrlisten, um bekannte verdächtige Quellen zu filtern.

Verfolgen Sie die Sicherheitsmitteilungen Schwachstellenoffenlegungen. Bereiten Sie sich darauf vor, Patches innerhalb von nach deren Veröffentlichung einzuspielen. Erhöhen Sie die Log-Aufbewahrungsdauer und aktivieren Sie Alarme für ungewöhnliche Ausgehaktivitäten.

Obwohl keine neue Schwachstelle bestätigt wurde, deuten Umfang und Muster dieser Aktivitäten darauf hin, dass Verteidiger den Anstieg als Frühwarnsignal behandeln sollten.

Proaktive Absicherung, kontinuierliche Überwachung und die Bereitschaft zu schnellen Patches bleiben entscheidend, um potenzielle Risiken im Zusammenhang mit der Exposition ist Sicherheitsredakteurin und weitere Reporterin bei