SonicWall heeft op 31 oktober 2025 alle apparaten uit de SMA 100-serie uitgeschakeld na herhaalde uitbuiting van kritieke kwetsbaarheden. De getroffen modellen zijn onder andere de SMA 200, 210, 400, 410 en 500v. Als je nog steeds een van deze apparaten gebruikt of SSL VPN licentiefouten tegenkomt op je SonicWall firewall, heb je drie realistische paden voorwaarts: migreren binnen SonicWall’s ecosysteem (Cloud Secure Edge of SMA 1000), overstappen naar een leverancier-neutraal ZTNA/SASE platform, of SSL VPN sessies tijdelijk verplaatsen naar een Gen 7 firewall terwijl je de langere migratie plant.
Als je hier terecht bent gekomen omdat je SonicWall console zojuist een licentiefout heeft gegeven, dan ben je niet de enige. Duizenden IT-teams in het middensegment zijn op deze muur gestuit nadat SonicWall de stekker uit de SMA 100-serie had getrokken. Dit bericht behandelt de technische details van de deactivering, legt de licentiefouten uit en geeft je opties aan.
Wat is er gebeurd met SonicWall SMA 100 SSL VPN?
SonicWall heeft de ondersteuning voor de gehele SMA 100-serie op 31 oktober 2025 beëindigd en de apparaten actief gedeactiveerd. Na die datum functioneerden de apparaten niet meer. VPN-connectiviteit, cloud-gebaseerde beveiligingsdiensten en firmware-updates stopten allemaal tegelijkertijd. Dit was geen standaard end-of-life aankondiging met een meerjarige afbouw. SonicWall versnelde de tijdlijn nadat beveiligingsonderzoekers en CISA hadden bevestigd dat er actief gebruik werd gemaakt van meerdere kritieke kwetsbaarheden in de SMA 100-lijn.
De aanleiding was een keten van kwetsbaarheden die de apparaten onverdedigbaar maakten. CVE-2024-38475, een path traversal fout in de Apache mod_rewrite module die wordt gebruikt door de SMA 100 firmware, heeft een CVSS score van 9.8. Hiermee kunnen niet-geauthenticeerde aanvallers willekeurige bestanden op het apparaat lezen, inclusief sessietokens. In combinatie met CVE-2023-44221 (CVSS 7.2, post-authenticatie commando-injectie) konden aanvallers volledige code-uitvoering op afstand bereiken. CISA voegde beide CVE’s toe aan de Known Exploited Vulnerabilities-catalogus op 1 mei 2025.
Google’s Threat Intelligence Group (GTIG) schreef exploitatieactiviteiten toe aan UNC6148, een bedreigingsgroep die in verband wordt gebracht met ransomware-operaties onder de naam Abyss. WatchTowr Labs publiceerde in mei 2025 een proof-of-concept dat laat zien hoe de twee CVE’s samenwerken om het systeem volledig te compromitteren.
Aanvullende CVE’s die in 2024 werden onthuld, brachten diepere zwakke plekken in de architectuur aan het licht.
| CVE | Type | CVSS | Invloed |
|---|---|---|---|
| CVE-2024-38475 | Path traversal (Apache mod_rewrite) | 9.8 | Ongeauthenticeerd lezen van bestanden, diefstal van sessietoken |
| CVE-2023-44221 | Post-auth commando injectie | 7.2 | Uitvoeren van commando’s op afstand als ongeprivilegieerde gebruiker |
| CVE-2024-45318 | Op stack gebaseerde bufferoverloop | 8.1 | Executie van code op afstand via beheerinterface |
| CVE-2024-40763 | Op heap gebaseerde bufferoverloop | 7.5 | Code-uitvoering door geheugencorruptie |
| CVE-2024-53703 | Stack-gebaseerde overflow in mod_httprp | 8.1 | RCE via de Apache webserverbibliotheek |
| CVE-2025-40599 | Geauthenticeerde willekeurige bestandsupload | 9.1 | Bestandsupload leidt tot RCE (gepatcht na EOS) |
De getroffen modellen zijn de SMA 200, SMA 210, SMA 400, SMA 410 en SMA 500v. Het gratis vervangingsprogramma van SonicWall eindigde op 1 december 2025. In 2026 zijn er geen firmware-updates, geen technische ondersteuning en geen hardwarevervangingen beschikbaar voor deze apparaten. Diensten die afhankelijk waren van actieve cloudrechten, waaronder Endpoint Control, Botnet Filtering en Geo-IP Filtering, stopten met functioneren op de EOS-datum.
Waarom u de fout “maximale SSLVPN-licentie” ziet
Als je SMA 100 is gedeactiveerd en je organisatie externe toegang heeft verschoven naar een SonicWall Gen 7 firewall, kun je deze foutmelding krijgen:
Maximum SSLVPN license [number] is reachedDit bericht betekent dat de firewall zijn gelijktijdige SSL VPN tunnel limiet heeft bereikt. Het verschijnt wanneer meer gebruikers proberen te verbinden via NetExtender dan de hardware kan ondersteunen, ongeacht hoeveel softwarelicenties je hebt gekocht via MySonicWall.
De hoofdoorzaak is een mismatch tussen licentierechten en hardwarecapaciteit. Tijdens het SMA 100 migratieprogramma bood SonicWall SSL VPN licenties aan voor Gen 7 firewalls die overeenkwamen met het aantal gebruikers op de oude SMA appliance. Maar elk firewall model heeft een hard plafond voor gelijktijdige SSL VPN tunnels, en dat plafond is vaak lager dan wat de SMA 100 aankon.
| Firewall model | Maximale gelijktijdige SSL VPN tunnels | Typisch SMA 100 equivalent |
|---|---|---|
| SonicWall TZ270 | 50 | Onder SMA 210 basiscapaciteit |
| SonicWall TZ370 | 75 | Onder SMA 210 basiscapaciteit |
| SonicWall TZ470 | 100 | Vergelijkbaar met SMA 210 |
| SonicWall NSA 2700 | 500+ | Vergelijkbaar met SMA 410 |
Wanneer je 100 licenties activeert op een TZ270, krijgt de 51e gebruiker die probeert te verbinden de foutmelding te zien. De licenties zijn geldig, maar de hardware kan ze niet bedienen.
Drie dingen om te controleren voordat u escaleert. Ten eerste, controleer in de MySonicWall portal dat licenties correct zijn gekoppeld aan het serienummer van de firewall en niet nog steeds gekoppeld zijn aan de gedeactiveerde SMA appliance. Ten tweede, zorg ervoor dat de firewall de laatste SonicOS 7.1.x firmware gebruikt, aangezien eerdere versies bugs bevatten in SSL VPN entitlement handling. Ten derde, zoek naar idle sessies die licenties open houden. Door het instellen van agressieve idle timeouts (10 tot 15 minuten) wordt capaciteit teruggevorderd van sessies waarbij de gebruiker de verbinding heeft verbroken zonder uit te loggen.
Voor organisaties waar het hardwareplafond van de firewall echt te laag is, zal een firmwarefix niet helpen. De opties zijn upgraden naar een firewall van een hoger niveau of overstappen naar een cloud-gebaseerde toegangsoplossing waarbij de limiet voor gelijktijdige sessies is gekoppeld aan het aantal licenties in plaats van aan de hardware van het apparaat.
Je drie realistische opties na de deactivering van SMA 100
Optie 1: Binnen SonicWall blijven (Cloud Secure Edge of SMA 1000)
Het aanbevolen pad van SonicWall is Cloud Secure Edge (CSE), een cloud-native ZTNA-oplossing. CSE verwijdert de publiek gerichte hardware gateway, integreert met identiteitsproviders zoals Microsoft Entra ID en past continue trust scoring toe op basis van de apparaatstatus. SonicWall bood een inruilprogramma aan met kortingen tot 52% op CSE-licenties met een looptijd van 3 jaar. Het gratis omruilvenster van dat programma sloot op 1 december 2025, maar betaalde migratietrajecten blijven beschikbaar.
Voor organisaties met complexe legacyvereisten is de SMA 1000-serie een alternatief. Deze kan grootschaligere implementaties aan, maar mist een aantal mogelijkheden van de SMA 100, waaronder de ingebouwde WAF. Aanvulling met een externe WAF-service voegt kosten en complexiteit toe.
Optie 2: overstappen naar een verkoper-neutraal ZTNA/SASE-platform
Een gedwongen leveranciersmigratie is een kans om te evalueren of het zin heeft om in hetzelfde ecosysteem te blijven. Verkoper-neutrale platformen, zoals Jimber, Cato Networks en Cloudflare One, bieden ZTNA zonder je te binden aan de licentiecyclus van één firewallverkoper. De architecturale verschuiving is hetzelfde als bij CSE (identiteitsgebaseerde toegang per applicatie, geen publieke gateway), maar je vermijdt de afhankelijkheid van één leverancier die deze migratiedruk in de eerste plaats veroorzaakte.
Het SASE-platform van Jimber combineert ZTNA, Secure Web Gateway, Firewall-as-a-Service en SD-WAN in één console. Voor teams in het middensegment met 50 tot 400 gebruikers is de implementatie meestal binnen enkele dagen voltooid voor een pilotgroep en binnen enkele weken voor een bredere uitrol. Transparante prijzen per gebruiker voorkomen de bandbreedte-verrassingen die gebruikelijk zijn bij SASE-leveranciers in het bedrijfsleven.
Optie 3: Tijdelijke pleister (SSL VPN op Gen 7 firewall)
Als je toegang op afstand binnen enkele uren moet herstellen, niet binnen enkele weken, dan is het verplaatsen van SSL VPN sessies naar een Gen 7 TZ of NSA firewall de snelste oplossing. Dit lost de onmiddellijke connectiviteitskloof op, maar pakt het architecturale probleem niet aan. Je stelt nog steeds een VPN gateway bloot aan het internet, geeft nog steeds toegang op netwerkniveau na authenticatie en loopt nog steeds tegen de hardware capaciteitslimieten aan die hierboven beschreven zijn.
Deze optie is zinvol als overbrugging voor twee tot vier weken terwijl je een van de eerste twee opties plant en uitprobeert. Als je het daarna uitvoert, verandert een tijdelijke maatregel in een permanente verplichting, vooral als je split tunnelling inschakelt om bandbreedte te beheren, wat zijn eigen nalevingsrisico’s introduceert onder NIS2.
| Criterium | Optie 1: SonicWall CSE/SMA 1000 | Optie 2: Verkoper-neutrale SASE | Optie 3: Gen 7 firewall SSL VPN |
|---|---|---|---|
| Tijd tot implementatie | 2-4 weken (CSE), 4-8 weken (SMA 1000) | 1-3 weken (pilot), 4-6 weken (volledig) | Uren tot dagen |
| Kosten | Trade-up prijzen beschikbaar; SMA 1000 is enterprise-priced | Abonnement per gebruiker, geen hardware | Licentiekosten plus mogelijke hardware-upgrade |
| Verbetering beveiliging | Aanzienlijk (ZTNA vervangt SSL VPN) | Aanzienlijk (ZTNA vervangt SSL VPN) | Geen (zelfde VPN-architectuur) |
| Risico op lock-in met leveranciers | Hoog (SonicWall ecosysteem) | Laag (verkopersneutraal) | Hoog (SonicWall ecosysteem) |
| Risico einde levensduur | CSE wordt in de cloud geleverd (lager risico); SMA 1000 is hardware (hoger risico) | Geleverd in de cloud (lager risico) | Gen 7 heeft eindige levenscyclus |
De veiligheidsimplicaties van een verblijf op SMA 100
Sommige organisaties hebben nog steeds SMA 100-toestellen op hun netwerk aangesloten. Als het apparaat een eeuwigdurende VPN-licentie heeft, kunnen tunnels technisch nog steeds functioneren, zelfs zonder ondersteuning. Er een laten draaien in 2026 is een gedocumenteerd, actief benut risico accepteren.
De CVE-2024-38475 en CVE-2023-44221 exploitketen geeft niet-geauthenticeerde aanvallers een pad vanaf het openbare internet naar willekeurige commando-uitvoering op het apparaat. De Threat Intelligence Group van Google heeft deze keten gekoppeld aan UNC6148, een groep die in verband wordt gebracht met data exfiltratie en ransomware. Zelfs na de EOS-datum bracht SonicWall in december 2025 een uitzonderlijke hotfix uit voor CVE-2025-40602 (CVSS 6.6), een zero-day voor privilege-escalatie, wat onderstreept dat er nieuwe kwetsbaarheden blijven opduiken in hardware die niet langer regelmatig patches ontvangt.
Cyberverzekeraars hebben dit opgemerkt. Verzekeraars scannen routinematig de perimeters van polishouders met behulp van externe kwetsbaarheidsscanners. Een SonicWall SMA 100 interface die zichtbaar is op het internet leidt tot onmiddellijke controle en sommige verzekeraars hebben SonicWall legacy appliances toegevoegd aan hun uitsluitingslijsten.
Voor Europese organisaties is de blootstelling aan compliance even concreet. Artikel 21 van NIS2 vereist “passende en evenredige technische, operationele en organisatorische maatregelen” om risico’s voor netwerkbeveiliging te beheren. Het gebruik van een apparaat dat door de fabrikant publiekelijk onveilig en gedeactiveerd is verklaard, is moeilijk te verdedigen als proportioneel. De bredere trend waarom ZTNA VPN in 2026 vervangt, geldt dubbel wanneer de VPN-hardware zelf door de maker buiten gebruik is gesteld. Belgische organisaties die in 2026 een CyberFundamentals (CyFun)-verificatie moeten ondergaan, moeten aantonen dat afgedankte apparatuur buiten gebruik is gesteld of geïsoleerd. Auditors controleren specifiek op het buiten gebruik stellen van niet-ondersteunde netwerkapparatuur als onderdeel van de beoordelingen op basis- en belangrijk niveau.
Een praktische migratietijdlijn
Of u nu kiest voor SonicWall’s Cloud Secure Edge, een leveranciersneutraal SASE-platform of een combinatie, de migratie volgt een voorspelbaar patroon. Deze tijdlijn gaat uit van een organisatie in het middensegment met 50 tot 300 gebruikers.
| Week | Activiteit | Mijlpaal |
|---|---|---|
| 1 | Scope de huidige SMA 100 implementatie. Breng elke toepassing in kaart die via SSL VPN wordt benaderd, documenteer gebruikersgroepen en apparaattypes, exporteer het toegangsbeleid | Volledige applicatie-inventarisatie |
| 2-3 | Implementeer de vervanging parallel. Verbind uw identity provider, definieer het toegangsbeleid per applicatie, stel de baseline van de apparaatstatus in | Pilotgroep operationeel |
| 4 | Proefmigratie voor 10-20% van de gebruikers op toepassingen met een laag risico en een hoog gebruik. Uitvoeren naast bestaande toegang (firewall SSL VPN of SMA-restanten) | Valideer de gebruikerservaring en het aantal supporttickets |
| 5-6 | Uitbreiden naar bedrijfskritische toepassingen. Voeg ERP, CRM, fileshares en interne tools toe. Schakel webgateway- en firewallbeleid in | 80%+ toepassingsdekking |
| 7-8 | Buiten gebruik stellen. Schakel de oude SSL VPN-toegang voor gemigreerde toepassingen uit. Verwijder SMA 100 uit het netwerk. Firewallregels bijwerken | SMA 100 volledig met pensioen |
Voor organisaties die nog steeds een SonicWall TZ of NSA firewall hebben die tijdelijk SSL VPN verkeer afhandelt, loopt deze tijdlijn parallel. Elke toepassing die via ZTNA wordt gepubliceerd, vermindert de belasting op de firewall en elimineert geleidelijk het knelpunt van de “maximale SSLVPN-licentie”. Platformen zoals Jimber die parallelle implementatie ondersteunen, laten u legacy toegang draaiende houden voor niet-geïmigreerde gebruikers terwijl de nieuwe architectuur al het andere afhandelt.
Als u ook van plan bent om het bredere SonicWall ecosysteem te verlaten, omvat onze bredere SonicWall naar SASE migratiegids de volledige vervanging van de stack, van firewallregels en contentfiltering tot SD-WAN-connectiviteit.
Veelgestelde vragen
Is mijn SonicWall SMA 100 nog steeds veilig te gebruiken in 2026?
Nee. De ondersteuning eindigde op 31 oktober 2025. Meerdere CVE’s met CVSS-scores hoger dan 9,0 zijn bevestigd in het wild uitgebuit. Het uitvoeren van een SMA 100 creëert ongepatchte blootstelling die de meeste cyberverzekeringen niet zullen dekken.
Kan ik de firmware downgraden om SSL VPN opnieuw in te schakelen op de SMA 100?
Downgraden verwijdert de laatste patches en stelt het apparaat bloot aan elke bekende exploit-keten, inclusief CVE-2024-38475 en CVE-2023-44221 die van invloed zijn op alle firmwareversies voorafgaand aan 10.2.1.14-75sv.
Betekent de fout “maximale SSLVPN-licentie” dat mijn SMA 100 kapot is?
Deze foutmelding verschijnt meestal op Gen 7 firewalls (TZ of NSA series) wanneer gelijktijdige gebruikers de hardwarelimiet overschrijden. Controleer licentiesynchronisatie in MySonicWall en wis inactieve sessies. Als het hardwareplafond het knelpunt is, verwijdert cloud-levered ZTNA de beperking.
Wat is de goedkoopste manier om SMA 100 SSL VPN te vervangen?
Voor minder dan 50 externe gebruikers met een bestaande Gen 7 firewall is het verplaatsen van SSL VPN naar de firewall het goedkoopst. Bij grotere aantallen vermijdt een ZTNA-abonnement per gebruiker een investering in hardware.
Wordt de SMA 1000-serie ook beïnvloed?
De SMA 1000 had zijn eigen kritieke kwetsbaarheid (CVE-2025-23006, CVSS 9.8) maar wordt nog steeds ondersteund en gepatcht. Het is ontworpen voor grotere implementaties en heeft enterprise prijzen die mogelijk niet passen bij budgetten in het middensegment.
Kan ik migreren naar een niet-SonicWall ZTNA oplossing met behoud van mijn firewall?
Ja. ZTNA-platforms werken onafhankelijk van uw firewallleverancier. Uw SonicWall firewall handelt het noord-zuid verkeer af, terwijl ZTNA beheert hoe SSL VPN wordt afgeschreven over leveranciers en toegang op applicatieniveau.
Hoe lang heb ik voordat SonicWall alle ondersteuning voor SMA 100 beëindigt?
Het is al afgelopen. De ondersteuning stopte op 31 oktober 2025. SonicWall heeft in december 2025 één uitzonderlijke hotfix uitgegeven voor een actief uitgebuite zero-day, maar dit werd expliciet beschreven als een uitzondering.
De deactivering van SMA 100 dwong tot een beslissing die veel IT-teams hadden uitgesteld. Het IPsec VPN vs ZTNA beslissingskader kan je helpen bij het evalueren van de afwegingen op protocolniveau, en onze SASE architectuurgids legt uit hoe de componenten in elkaar passen. Als je wilt zien hoe Jimber specifiek omgaat met de vervanging van SonicWall, boek dan een demo en we brengen een migratiepad voor jouw omgeving in kaart.
