Une vulnérabilité de gravité critique affectant les passerelles d’accès mobile sécurisé (SMA) de SonicWall, traitée le mois dernier, est désormais ciblée dans les tentatives d’exploitation en cours.
Le bug est un dépassement de mémoire tampon non authentifié basé sur la pile suivi comme CVE-2021-20038 qui affecte les appliances de la série SMA 100 (y compris SMA 200, 210, 400, 410 et 500v) même lorsque le pare-feu d’application Web (WAF) est activé.
Une exploitation réussie peut permettre à des attaquants distants non authentifiés d’exécuter du code en tant qu’utilisateur « personne » dans les appliances SonicWall compromises.
« Il n’y a pas de mesures d’atténuation temporaires. SonicWall exhorte les clients concernés à mettre en œuvre les correctifs applicables dès que possible », a déclaré la société en décembre après avoir publié les mises à jour de sécurité CVE-2021-20038, ajoutant qu’elle n’avait trouvé aucune preuve que le bug était exploité à l’état sauvage. temps.
Cependant, aujourd’hui, Richard Warren, consultant principal en sécurité chez NCC Group et celui qui a trouvé et signalé la vulnérabilité, a déclaré que les acteurs de la menace tentaient maintenant d’exploiter la vulnérabilité dans la nature.
Warren a ajouté que les attaquants essayaient également de se frayer un chemin par la force brute en pulvérisant des mots de passe par défaut connus des appliances SonicWall.
« Certaines tentatives sur CVE-2021-20038 (SonicWall SMA RCE). Aussi quelques pulvérisations de mots de passe par défaut des derniers jours. N’oubliez pas de mettre à jour ET de changer le mot de passe par défaut », a déclaré le chercheur en sécurité. tweeté aujourd’hui.
« Pour autant que je sache, ils n’ont pas l’air de réussir », a également déclaré Warren à EZpublish-france.fr. « En utilisant cet exploit, vous devez faire un grand nombre de demandes (comme un million). Ils tentent probablement juste leur chance ou ne comprennent pas l’exploit. »
Patch maintenant pour se défendre contre les attaquants
Bien que ces attaques en cours n’aient pas encore abouti, il est conseillé aux clients de SonicWall de patcher leurs appliances SMA 100 pour bloquer les tentatives de piratage.
Il est recommandé aux utilisateurs du SMA 100 de se connecter à leur MySonicWall.fr comptes pour mettre à niveau le micrologiciel vers les versions décrites dans ce Avis SonicWall PSIRT.
Une assistance sur la mise à niveau du micrologiciel est disponible dans cet article de la base de connaissances ou en contactant Assistance de SonicWall.
Les appliances SonicWall SMA 100 ont été ciblées dans plusieurs campagnes depuis le début de 2021, y compris dans des attaques coordonnées par des gangs de ransomwares.
Par exemple, le CVE-2021-20016 SMA 100 zero-day a été utilisé pour déployer le rançongiciel FiveHands à partir de janvier 2021, lorsqu’il a également été exploité dans des attaques contre les systèmes internes de SonicWall. Avant d’être corrigée près de deux mois plus tard, fin février 2021, la même faille a également été abusée sans discernement dans la nature.
En juillet, SonicWall a mis en garde contre le risque accru d’attaques de ransomware ciblant les produits de la série SMA 100 en fin de vie et les produits Secure Remote Access non corrigés. Cependant, CrowdStrike, les chercheurs en sécurité de Coveware et la CISA ont averti que les opérateurs de ransomware HelloKitty ciblaient déjà les appliances SonicWall.
Plus de 500 000 entreprises clientes de 215 pays utilisent les produits SonicWall dans le monde, dont beaucoup sont déployés sur les réseaux d’agences gouvernementales et des plus grandes entreprises mondiales.