Vulnerabilități de tip Zero-Day în dispozitivele de securitate SonicWall Enterprise
Cele trei vulnerabilități sunt:
- CVE-2021-20021 (scor CVSS: 9.4) – Permite unui atacator să creeze un cont administrativ prin trimiterea unei cereri HTTP către mașina gazdă;
- CVE-2021-20022 (scor CVSS: 6.7) – Permite unui atacator să încarce un fișier arbitrar pe mașina gazdă;
- CVE-2021-20023 (scor CVSS: 6.7) – Permite unui atacator să citească fișiere.
Două dintre aceste vulnerabilități (CVE-2021-20021 și CVE-2021-20022) au fost descoperite și raportate de către filiala Mandiant a firmei de securitate cibernetică FireEye la data de 26 martie 2021, după ce aceștia au observat shell web post-exploitation pe un sistem accesibil din internet în mediul unui client care avea aplicația SonicWall Email Security, rulând pe un Windows Server 2012. Cea de-a treia vulnerabilitate (CVE-2021-20023) identificată de FireEye, a fost dezvăluită către SonicWall pe data de 6 aprilie 2021.
Cercetătorii Josh Fleischer, Chris DiGiamo și Alex Pennino au spus că aceste trei vulnerabilități au fost exploatate împreună pentru a obține acces administrativ și pentru executarea codului pe un dispozitiv SonicWall ES. Atacatorul a exploatat aceste vulnerabilități cunoscând detaliat aplicația SonicWall, cu scopul de a instala un backdoor, a accesa fișiere și mail-uri, și obținerea accesului în rețeaua organizației. FireEye urmărește activitatea malițioasă sub denumirea de UNC2682.
Pentru a obține acces administrativ, atacatorul a exploatat vulnerabilitatea CVE-2021-20023 cu scopul de a citi fișierele de configurare, numărându-le pe cele care conțin informații despre conturile existente, precum și acreditările Active Directory. Apoi a exploatat vulnerabilitatea CVE-2021-20022 pentru a încărca o arhivă ZIP care conține un JSP- shell web numit BEHINDER, capabil să accepte comunicații criptate de comandă și control.
După adăugarea unui shell web pe server, atacatorul a avut acces nerestricționat la command prompt, cu permisiunile moștenite ale contului NT AUTHORITY \ SYSTEM. Apoi a folosit tehnica living off the land (LotL) pentru a obține credențiale și chiar comprimarea unui subdirector cu arhive zilnice de e-mailuri procesate de SonicWall ES.
Utilizatorilor SonicWall li se recomandă să facă actualizarea la 10.0.9.6173 Hotfix pentru Windows și 10.0.9.6177 Hotfix pentru hardware și mașini virtuale ESXi.
Sursa: https://thehackernews.com/2021/04/3-zero-day-exploits-hit-sonicwall.html
