Twee weken geleden kregen we een e-mailwaarschuwing over de kritieke kwetsbaarheid, waarin we dringend de laatste firmware van mysonicwall moesten downloaden en onmiddellijk moesten bijwerken.
Blijkbaar was de firmware nog niet eens beschikbaar voor download toen ze de e-mail stuurden… Ok, tijdverspilling, alles uitstellen tot een dag later.
Vervolgens werd de nieuwe firmware beschikbaar en konden we bijwerken.
Een week later nog een mail, nu moeten we wachtwoorden veranderen. Ok.
En vandaag de derde mail, waarin stond dat er een nieuwe kwetsbaarheid was gevonden en dat weer een patch dringend geïnstalleerd moest worden. Maar nee. Als je in de CVE duikt, zie je dat de firmware die al twee weken geleden was bijgewerkt, nog steeds als de “veilige” versie wordt beschouwd en dat alleen de vorige versies getroffen zijn. Dus blijkbaar was dit slechts een slecht geformuleerde herinnering om te doen wat ze ons twee weken geleden al hadden verteld. Waarom niet gewoon in de mail aangeven welke versies gepatcht moeten worden en welke niet?
Sonicwall zou ons leven echt makkelijker maken als ze hun beveiligingswaarschuwingen lieten schrijven door mensen die effectief en efficiënt kunnen communiceren…
Ik denk dat de reden voor de follow-up e-mail tweeledig is:
De oorspronkelijke melding gaf alleen aan dat WAN-beheer beperkt moest worden. Deze follow-up zegt: “SonicWall heeft een onjuiste toegangscontrole kwetsbaarheid geïdentificeerd in de SonicOS beheer toegangs en SSLVPN.” De PSIRT pagina (https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015) is ook bijgewerkt: “Evenzo, voor SSLVPN, zorg dat de toegang beperkt wordt tot vertrouwde bronnen, of schakel SSLVPN toegang uit vanaf het internet.”
Ze laten iedereen weten dat het niet alleen een theoretische kwetsbaarheid is: “Gebaseerd op lopend onderzoek, Gelooft SonicWall dat de kwetsbaarheid actief wordt misbruikt in het wild.”
Ik ben het eens! Ik kondigde een naderende update aan voor beheerders en CEO’s, maar ontdekte dat deze niet bestond. Volgens de update waren er veel achterblijvende berichten over V7 firmware die verschillende problemen veroorzaakten. Net als bij de 6.x firmware in dit opzicht en ik wil echt niet dat het verdwijnt. Natuurlijk weet ik niet of de V7 problemen hiermee te maken hadden, maar het zaaide twijfels. De release-opmerkingen lijken coherent, dus er is hoop. Ik heb SonicWALL altijd leuk gevonden, zelfs toen het gewoon kleine blauwe doosjes waren, en ik hoop dat deze debacles leiden tot betekenisvolle veranderingen.
Ik heb van SW gehouden voor vele jaren, ik ben gecertificeerd en alles, maar na jaren van ellendige ondersteuning zijn we overgestapt naar Fortinet. Veel beter overal.
Ik probeer nog steeds uit te vinden hoe ik de firmware-update kan downloaden. Op dit moment zie ik een cirkel met een streep erdoor als ik over de downloadlink hover. Ik heb en zal nooit beheer van het apparaat openen voor WAN, maar het zou fijn zijn om de patch te installeren.
Het ergste is dat mijn baas dit ziet en zegt: “Wat is hier aan de hand? Dit lijkt dringend.”
Dan moet ik stoppen met wat ik doe en dit onderzoeken.
We houden momenteel de firmware-updates bij, dus ik hoef zelden meer te doen dan mijn baas uitleggen dat we al up-to-date zijn.
Wel, de eerste mail stelde ook dat de kwetsbaarheid actief werd misbruikt:
"Als onderdeel van SonicWall’s inzet om volledig transparant te zijn, is dit een communicatie om getroffen klanten te informerendat er bewijs is van actieve exploitatie van de kwetsbaarheid*"*
En voor die zin: “zorg dat de toegang beperkt wordt tot vertrouwde bronnen, of schakel SSLVPN toegang uit vanaf het internet” - staat niet in de e-mail. Maar het is waarschijnlijk een van de domste dingen die ik ooit heb gelezen. “Schakel SSLVPN uit op het internet”… oh well… waarvoor zou iemand anders SSLVPN gebruiken?
Ze hadden jaren lang automatische updates broken. De huidige fw lijkt eindelijk te werken.
De manier om dat te krijgen, is door firmware te downloaden vanaf de mysonicwall-site.
Als je het beheer op afstand hebt uitgeschakeld (lijkt een goed idee), moet je op het LAN zijn om FW bij te werken. Ik verbind gewoon via VPN en doe het op die manier.
Ik voelde dit op een spiritueel niveau, mijn baas staat altijd op mijn nek zodra de e-mails binnenkomen. “Heb je deze e-mail gezien, regel het.” Uh ja, ik zag het, ik krijg dezelfde e-mails als jij, maar dit geldt niet voor ons omdat we al up-to-date zijn.