Risque
- Non spécifié par l'éditeur
Systèmes affectés
- Pare-feux SonicWall de génération 7 avec le VPN SSL activé
Résumé
Le 4 août 2025, SonicWall a publié un communiqué (cf. section Documentation) concernant des incidents de sécurité constatés sur les pare-feux de génération 7 lorsque le VPN SSL est activé.
L'éditeur déclare ne pas savoir si ces incidents sont liés à une vulnérabilité déjà connue ou s'il s'agit d'une nouvelle vulnérabilité.
Plusieurs entreprises de sécurité, citées par l'éditeur, ont publié des billets de blogue, dont certains sont disponibles en source ouverte.
Ceux-ci proposent des indicateurs de compromission qui n'ont pas été qualifiés par le CERT-FR.
Contournement provisoire
Dans l'attente de plus de renseignements, voire d'un éventuel correctif, l'éditeur conseille de désactiver le VPN SSL.
Si cela n'est pas possible, celui-ci recommande a minima de :
- limiter l'accès à des adresses IP de confiance ;
- activer les services de sécurité proposés ;
- activer l'authentification à multiples facteurs ;
- supprimer les comptes inactifs ;
- mettre à jour les mots de passe en accord avec les bonnes pratiques (cf. section Documentation).
Documentation
- Communiqué SonicWall du 04 août 2025 https://www.sonicwall.com/support/notices/gen-7-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430
- CERTFR-2025-RFX-001 : Compromission d'un équipement de bordure réseau - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-001/
- CERTFR-2025-RFX-002 : Compromission d'un équipement de bordure réseau - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2025-RFX-002/
- Recommandations relatives à l'authentification multifacteur et aux mots de passe https://cyber.gouv.fr/publications/recommandations-relatives-lauthentification-multifacteur-et-aux-mots-de-passe
