SonicWall « exhorte fortement » les clients à corriger les bugs critiques du SMA 100

SonicWall ‘strongly urges’ customers to patch critical SMA 100 bugs

SonicWall « exhorte fortement » les organisations utilisant des appliances de la série SMA 100 à les corriger immédiatement contre plusieurs failles de sécurité évaluées avec des scores CVSS allant de moyen à critique.

Les bugs (rapportés par Rapid7’s Jake Baines et NCC Group Richard Warren) ont un impact sur les appliances SMA 200, 210, 400, 410 et 500v même lorsque le pare-feu d’application Web (WAF) est activé.

Les défauts de gravité les plus élevés corrigés par SonicWall cette semaine sont CVE-2021-20038 et CVE-2021-20045, deux vulnérabilités critiques de dépassement de mémoire tampon basées sur la pile qui peuvent permettre à des attaquants distants non authentifiés de s’exécuter en tant qu’utilisateur « personne » dans les appliances compromises.

D’autres bugs corrigés par la société mardi permettent aux acteurs de la menace authentifiés d’obtenir l’exécution de code à distance, d’injecter des commandes arbitraires ou de télécharger des pages Web et des fichiers conçus dans n’importe quel répertoire de l’appliance après une exploitation réussie.

Cependant, le plus dangereux s’il n’est pas corrigé est CVE-2021-20039. Ce problème de sécurité de gravité élevée peut permettre à des attaquants authentifiés d’injecter des commandes arbitraires en tant qu’utilisateur root, ce qui entraîne une prise de contrôle à distance des appareils non corrigés.

Heureusement, SonicWall dit qu’il n’a encore trouvé aucune preuve d’une de ces vulnérabilités de sécurité exploitées à l’état sauvage.

CVE Sommaire Score CVSS
CVE-2021-20038 Débordement de tampon basé sur la pile non authentifié 9,8 Élevé
CVE-2021-20039 Vulnérabilité d’injection de commande authentifiée en tant que racine 7.2 Élevé
CVE-2021-20040 Vulnérabilité de traversée de chemin de téléchargement de fichier non authentifié 6.5 Moyen
CVE-2021-20041 Vulnérabilité d’épuisement du processeur non authentifié 7.5 Élevé
CVE-2021-20042 Vulnérabilité non authentifiée « Adjoint confus » 6.3 Moyen
CVE-2021-20043 Débordement de tampon basé sur le tas getBookmarks 8.8 Élevé
CVE-2021-20044 Exécution de code à distance post-authentification (RCE) 7.2 Élevé
CVE-2021-20045 Plusieurs débordements de tampon basés sur le tas et la pile de l’explorateur de fichiers non authentifié 9.4 Élevé

« SonicWall exhorte les clients concernés à mettre en œuvre les correctifs applicables dès que possible », a déclaré la société dans un avis de sécurité publié mardi.

Il est conseillé aux clients utilisant des appliances de la série SMA 100 de se connecter immédiatement à leur MySonicWall.com comptes pour mettre à niveau le micrologiciel vers les versions décrites dans ce Avis SonicWall PSIRT.

L’assistance de mise à niveau sur la façon de mettre à niveau le firmware sur les appareils SMA 100 est disponible dans cet article de la base de connaissances ou en contactant Prise en charge de SonicWall.

Pour mettre en perspective l’importance de corriger ces failles de sécurité, les appliances SonicWall SMA 100 ont été la cible de plusieurs gangs de ransomware depuis le début de 2021.

Par exemple, Mandiant a déclaré en avril que le CVE-2021-20016 Le SMA 100 zero-day a été exploité pour déployer une nouvelle souche de ransomware connue sous le nom de FiveHands à partir de janvier, lorsqu’il a également été utilisé pour cibler les systèmes internes de SonicWall. Avant la publication des correctifs fin février 2021, le même bug a été abusé sans discernement dans la nature.

En juillet, SonicWall a également mis en garde contre le risque accru d’attaques de ransomware ciblant les produits SMA 100 et Secure Remote Access en fin de vie non corrigés. Cependant, CrowdStrike, les chercheurs en sécurité de Coveware et CISA ont averti que les appliances SonicWall étaient déjà ciblées par le ransomware HelloKitty.

Les produits SonicWall sont utilisé par plus de 500 000 clients professionnels de 215 pays et territoires à travers le monde, beaucoup déployés sur les réseaux des plus grandes entreprises et agences gouvernementales du monde.