SonicWall a abordat trei vulnerabilități de securitate critice în produsul său de securitate de e-mail găzduit și local (ES) care sunt exploatate activ în natură.

Urmărite ca CVE-2021-20021 și CVE-2021-20022, defectele au fost descoperite și raportate companiei de către filiala Mandiant a FireEye la 26 martie 2021, după ce firma de securitate cibernetică a găsit activitate. De acoperire web după exploatarea pe un sistem accesibil la internet . în mediul client care avea aplicația SonicWall ES rulată pe o instalare Windows Server 2012. Al treilea defect (CVE-2021-20023) identificat de FireEye a fost dezvăluit SonicWall pe 6 aprilie 2021.

FireEye urmărește activitatea rău intenționată sub denumirea UNC2682.

auditor de parole

„Aceste vulnerabilități au fost executate împreună pentru a obține acces administrativ și executarea codului pe dispozitivele SonicWall ES”, au declarat cercetătorii Josh Fleischer, Chris DiGiamo și Alex Pennino.

Adversarul a îndemnat aceste vulnerabilități, cu o cunoaștere intimă a aplicației SonicWall, să instaleze un backdoor, acces la fișiere și e-mailuri și să se mute lateral în rețeaua organizației victimei. „

Un scurt rezumat al celor trei defecte este mai jos –

  • CVE-2021-20021 (Scorul CVSS: 9.4) – Permite unui atacator să creeze un cont administrativ prin trimiterea unei cereri HTTP procesate către gazda de la distanță.
  • CVE-2021-20022 (Scor CVSS: 6.7) – Permite unui atacator autentificat să încarce un fișier arbitrar pe gazda la distanță și
  • CVE-2021-20023 (Scorul CVSS: 6.7) – Un defect de traversare a directorului care permite unui atacator autentificat să citească un fișier arbitrar pe gazda de la distanță.

Accesul administrativ nu numai că a permis atacatorului să exploateze CVE-2021-20023 pentru a citi fișierele de configurare, numărându-le pe cele care conțin informații despre conturile existente, precum și acreditările Active Directory, dar și abuzând de CVE-2021-20022 pentru a încărca o arhivă ZIP care conține un JSP-based shell web numit BEHINDER capabil să accepte comunicări criptate de comandă și control (C2).

auditor de parole

„Prin adăugarea unui shell web la server, oponentul avea acces nerestricționat la promptul de comandă, cu permisiunile moștenite ale contului NT AUTHORITY SYSTEM”, a spus FireEye, adăugând atacatorul, apoi să folosească „live off the ground” (LotL) tehnici pentru a culege acreditări, pentru a rula lateral în rețea și chiar pentru a „comprima subdirectorul” [that] conține arhive zilnice de e-mailuri procesate de SonicWall ES. „

În incidentul observat de firmă, se spune că actorul amenințător și-a intensificat atacul prin efectuarea unei activități de recunoaștere internă, deși pe scurt, înainte ca acesta să fie izolat și îndepărtat din mediul înconjurător, obstrucționând astfel misiunea lor. Motivul real din spatele intruziunii este încă neclar.

Utilizatorilor SonicWall li se recomandă să facă upgrade la 10.0.9.6173 Hotfix pentru Windows și 10.0.9.6177 Hotfix pentru hardware și dispozitive virtuale ESXi. Produsul SonicWall Hosted Email Security a fost activat automat pe 19 aprilie, deci nu este necesară nicio altă acțiune.

ACTUALIZAȚI

Firma de securitate a rețelei cu sediul în Milpitas a etichetat rezultatele ca rezultat al unei colaborări de rutină cu cercetători terți și companii de analiză criminalistică pentru a se asigura că produsele sale respectă cele mai bune practici de securitate.

„Pe parcursul acestui proces, SonicWall a fost informat și verificat cu privire la anumite vulnerabilități de zi zero – în cel puțin un caz cunoscut, care a fost exploatat în sălbăticie – pentru produsele de securitate a corespondenței. Electronice găzduite și la locul lor”, a declarat compania într-un comunicat către The Hacker News. „SonicWall a proiectat, testat și publicat patch-uri pentru a corecta problemele și pentru a comunica aceste atenuări clienților și partenerilor.”

Ti s-a parut interesant acest articol? Urmăriți THN pe Facebook, Stare de nervozitate și LinkedIn pentru a citi mai multe conținuturi exclusive pe care le-am creat.