SonicWall исправляет критическую ошибку, позволяющую захватить устройство SMA 100

Как показать скрытые файлы и папки в Windows 10

SonicWall исправил критический недостаток безопасности, влияющий на несколько продуктов серии 100 Secure Mobile Access (SMA), которые могут позволить злоумышленникам, не прошедшим проверку подлинности, удаленно получить административный доступ к целевым устройствам.

Устройства серии SMA 100 уязвимы для атак, нацеленных на уязвимость неправильного управления доступом, отслеживаемую как CVE-2021-20034, включая SMA 200, 210, 400, 410 и 500v.

Временных мер по устранению вектора атаки нет, и SonicWall настоятельно призывает затронутых клиентов как можно скорее развернуть обновления безопасности, устраняющие уязвимость.

Нет в дикой эксплуатации

Успешная эксплуатация может позволить злоумышленникам удалить произвольные файлы из непропатченных шлюзов безопасного доступа SMA 100 для перезагрузки до заводских настроек по умолчанию и потенциально получить доступ администратора к устройству.

«Уязвимость возникает из-за неправильного ограничения пути к файлу в каталог с ограниченным доступом, что потенциально может привести к произвольному удалению файла как никто», — заявили в компании.

SonicWall попросил организации, использующие устройства серии SMA 100, немедленно войти в систему на MySonicWall.com, чтобы обновить устройства до исправленных версий прошивки, указанных в таблице ниже.

Компания не нашла доказательств того, что эта критическая уязвимость, связанная с предварительной аутентификацией, в настоящее время используется в дикой природе.

Таргетинг на программы-вымогатели

С начала 2021 года устройства серии SonicWall SMA 100 неоднократно подвергались атакам группировок программ-вымогателей, конечной целью которых было проникновение в сеть целевой организации.

Например, группа угроз, отслеживаемая Mandiant как UNC2447, использовала ошибку нулевого дня CVE-2021-20016 в устройствах SonicWall SMA 100 для развертывания нового штамма вымогателей, известного как FiveHands (вариант DeathRansom, как и HelloKitty).

Их атаки были нацелены на несколько североамериканских и европейских организаций до того, как в конце февраля 2021 года были выпущены обновления безопасности . Этот же недостаток также использовался в январе в атаках, направленных на внутренние системы SonicWall, а затем подвергался неизбирательным злоупотреблениям в дикой природе .

Два месяца назад, в июле, SonicWall предупредил о повышенном риске атак программ-вымогателей, нацеленных на непропатченные продукты серии SMA 100 с истекшим сроком службы (EoL) и продукты безопасного удаленного доступа (SRA).

Исследователи безопасности CrowdStrike и Coveware добавили к предупреждению SonicWall, что кампания вымогателей продолжается. Через три дня CISA подтвердила выводы исследователей , предупредив, что злоумышленники нацелены на ранее исправленную уязвимость SonicWall.

BleepingComputer также сообщил в то время, что программа-вымогатель HelloKitty использовала уязвимость (отслеживаемая как CVE-2019-7481) в течение нескольких недель до того, как SonicWall выпустил «срочное уведомление о безопасности».

Компания SonicWall недавно сообщила, что ее продукты используют более 500 000 бизнес-клиентов в более чем 215 странах и территориях по всему миру. Многие из них развернуты в сетях крупнейших мировых организаций, предприятий и государственных учреждений.

Последнее обновление 24.09.2021