Risque
- Non spécifié par l'éditeur
Systèmes affectés
- Pare-feux SonicWall de génération 7 avec le VPN SSL activé
Résumé
[Mise à jour du 7 août 2025]
Le 6 août 2025, SonicWall a remplacé une partie de son communiqué initial pour indiquer que les incidents de sécurité évoqués étaient vraisemblablement corrélés à la vulnérabilité CVE-2024-40766. Celle-ci a fait l'objet d'un bulletin de sécurité, SNWLID-2024-0015 (cf. section Documentation), publié le 8 août 2024.
Selon l'éditeur, nombre de ces incidents de sécurité sont liés à une migration de la génération 6 à 7, mais au cours de laquelle les mots de passe n'ont pas été modifiés, à l'encontre des préconisations de l'avis SNWLID-2024-0015.
[Publication Initiale]
Le 4 août 2025, SonicWall a publié un communiqué (cf. section Documentation) concernant des incidents de sécurité constatés sur les pare-feux de génération 7 lorsque le VPN SSL est activé.
L'éditeur déclare ne pas savoir si ces incidents sont liés à une vulnérabilité déjà connue ou s'il s'agit d'une nouvelle vulnérabilité.
Plusieurs entreprises de sécurité, citées par l'éditeur, ont publié des billets de blogue, dont certains sont disponibles en source ouverte.
Ceux-ci proposent des indicateurs de compromission qui n'ont pas été qualifiés par le CERT-FR.
Contournement provisoire
Dans l'attente de plus de renseignements, voire d'un éventuel correctif, l'éditeur conseille de désactiver le VPN SSL.
Si cela n'est pas possible, celui-ci recommande a minima de :
- limiter l'accès à des adresses IP de confiance ;
- activer les services de sécurité proposés ;
- activer l'authentification à multiples facteurs ;
- supprimer les comptes inactifs ;
- mettre à jour les mots de passe en accord avec les bonnes pratiques (cf. section Documentation).
Solution
[Mise à jour du 7 août 2025]
L'éditeur recommande d'installer la version 7.3.0 de SonicOS, qui contient des mesures de protection contre des attaques par force brute. De plus, SonicWall conseille de modifier tous les mots de passe des utilisateurs, en complément des mesures déjà préconisées (cf. Contournement provisoire).
Documentation
- Bulletin de sécurité Sonicwall du 22 août 2024 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2024-0015
- Communiqué SonicWall du 04 août 2025 https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
- Alerte CERT-FR CERTFR-2024-ALE-011 du 10 septembre 2024 https://www.cert.ssi.gouv.fr/alerte/CERTFR-2024-ALE-011/
- CERTFR-2025-RFX-001 : Compromission d'un équipement de bordure réseau - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/
- CERTFR-2025-RFX-002 : Compromission d'un équipement de bordure réseau - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/
- Recommandations relatives à l'authentification multifacteur et aux mots de passe https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe
