3 Zero-Day Exploits zasiahlo podnikové e-mailové bezpečnostné zariadenia SonicWall

SonicWall sa zaoberal tromi kritickými bezpečnostnými chybami vo svojom hosťovanom a lokálnom produkte zabezpečenia e-mailov (ES), ktoré sa aktívne využívajú vo voľnej prírode.

Sledované ako CVE-2021-20021 a CVE-2021-20022, chyby boli objavené a nahlásené spoločnosti dcérskou spoločnosťou FireEye Mandiant 26. marca 2021 po tom, čo spoločnosť zaoberajúca sa kybernetickou bezpečnosťou zistila aktivitu webového shellu po zneužití na internetovom systéme. v prostredí zákazníka, v ktorom bola spustená aplikácia SonicWall ES na a Windows Inštalácia servera 2012. Tretia chyba (CVE-2021-20023) identifikovaná FireEye bola odhalená SonicWall v apríli 6, 2021.

FireEye sleduje škodlivú aktivitu pod prezývkou UNC2682.

“Tieto zraniteľnosti boli spustené v spojení s cieľom získať administratívny prístup a spustiť kód na zariadení SonicWall ES,” uviedli výskumníci Josh Fleischer, Chris DiGiamo a Alex Pennino.

Protivník využil tieto zraniteľnosti s dôvernou znalosťou aplikácie SonicWall na inštaláciu backdoor, prístup k súborom a e-mailom a bočný presun do siete organizácie obete.“

Stručné zhrnutie troch nedostatkov je uvedené nižšie –

  • CVE-2021-20021 (skóre CVSS: 9.4) – Umožňuje útočníkovi vytvoriť administrátorský účet odoslaním upravenej HTTP požiadavky na vzdialený hostiteľ
  • CVE-2021-20022 (skóre CVSS: 6.7) – Umožňuje útočníkovi po overení nahrať ľubovoľný súbor na vzdialený hostiteľ a
  • CVE-2021-20023 (skóre CVSS: 6.7) – Chyba pri prechode cez adresár, ktorá umožňuje útočníkovi po overení čítať ľubovoľný súbor na vzdialenom hostiteľovi.

Správcovský prístup nielenže umožnil útočníkovi zneužiť CVE-2021-20023 na čítanie konfiguračných súborov, vrátane tých, ktoré obsahujú informácie o existujúcich účtoch, ako aj poverenia Active Directory, ale aj zneužiť CVE-2021-20022 na nahranie archívu ZIP obsahujúceho JSP- založený webový shell s názvom BEHINDER, ktorý je schopný prijímať šifrovanú komunikáciu príkazov a ovládania (C2).

“Po pridaní webového shellu na server mal protivník neobmedzený prístup k príkazovému riadku so zdedenými oprávneniami účtu NT AUTHORITYSYSTEM,” povedal FireEye a dodal, že útočník potom použil “život z krajiny” ( LotL) techniky na zber poverení, pohyb laterálne cez sieť a dokonca „komprimovanie podadresára [that] obsahuje denné archívy e-mailov spracovávaných SonicWall ES.“

Pri incidente, ktorý firma pozorovala, sa uvádza, že aktér hrozby eskaloval svoj útok vykonaním internej prieskumnej činnosti, aj keď krátko predtým, než bol izolovaný a odstránený z prostredia, čím zmaril ich misiu. Skutočný motív vniknutia zostáva nejasný.

Používateľom SonicWall sa odporúča inovovať na 10.0.9.6173 Rýchla oprava pre Windows a 10.0.9.6177 Rýchla oprava pre hardvér a virtuálne zariadenia ESXi. Produkt SonicWall Hosted Email Security bol automaticky opravený 19. apríla, a preto nie sú potrebné žiadne ďalšie kroky.

AKTUALIZOVAŤ

Sieťová bezpečnostná firma so sídlom v Milpitase označila zistenia za výsledok rutinnej spolupráce s výskumníkmi tretích strán a firmami zaoberajúcimi sa forenznou analýzou, aby sa zabezpečilo, že jej produkty budú dodržiavať najlepšie bezpečnostné postupy.

„V priebehu tohto procesu bola spoločnosť SonicWall upozornená a overená o určitých zraniteľnostiach zero-day – aspoň v jednom známom prípade, ktoré boli zneužité vo voľnej prírode – vo svojich hosťovaných a lokálnych produktoch zabezpečenia e-mailov,“ uviedla spoločnosť vyhlásenie pre The Hacker News. „Spoločnosť SonicWall navrhla, otestovala a zverejnila opravy na nápravu problémov a oznámila tieto zmiernenia zákazníkom a partnerom.“