Os invasores agora visam ativamente o bug crítico do SonicWall RCE
Uma vulnerabilidade de gravidade crítica que afeta os gateways Secure Mobile Access (SMA) da SonicWall abordada no mês passado agora é alvo de tentativas de exploração contínuas.
O bug, encontrado pelo pesquisador líder de segurança do Rapid7, Jacob Baines, é um estouro de buffer baseado em pilha não autenticado rastreado como CVE-2021-20038 que afeta os dispositivos da série SMA 100 (incluindo SMA 200, 210, 400, 410 e 500v) mesmo quando o firewall de aplicativo da web (WAF) está ativado.
A exploração bem-sucedida pode permitir que invasores remotos não autenticados executem código como o usuário ‘ninguém’ em dispositivos SonicWall comprometidos.
“Não há mitigações temporárias. A SonicWall pede que os clientes impactados implementem os patches aplicáveis o mais rápido possível”, disse a empresa em dezembro, após lançar as atualizações de segurança CVE-2021-20038, acrescentando que não encontrou evidências de que o bug foi explorado em estado selvagem no momento. Tempo.
No entanto, hoje, Richard Warren, principal consultor de segurança do NCC Group, disse que os agentes de ameaças agora estão tentando explorar a vulnerabilidade à solta.
Warren acrescentou que os invasores também estão tentando entrar com força bruta pulverizando senhas conhecidas como senhas padrão dos dispositivos SonicWall.
“Algumas tentativas aconteceram no CVE-2021-20038 (SonicWall SMA RCE). Também alguma pulverização de senhas padrão dos últimos dias. Lembre-se de atualizar E alterar a senha padrão”, twittou o pesquisador de segurança hoje.
“Eles não parecem bem-sucedidos até onde eu posso dizer”, Warren também disse à BleepingComputer. “Usando esse exploit, você precisa fazer um grande número de solicitações (como um milhão). Eles provavelmente estão apenas tentando a sorte ou não entendem o exploit.”
Patch agora para se defender contra invasores
Embora esses ataques contínuos ainda não tenham sido bem-sucedidos, os clientes da SonicWall são aconselhados a corrigir seus dispositivos SMA 100 para bloquear tentativas de hackers.
Recomenda-se que os usuários do SMA 100 efetuem login em suas contas MySonicWall.com para atualizar o firmware para as versões descritas neste Aviso do SonicWall PSIRT .
A assistência sobre como atualizar o firmware está disponível neste artigo da base de conhecimento ou entrando em contato com o suporte da SonicWall .
Os dispositivos SonicWall SMA 100 foram alvos de várias campanhas desde o início de 2021, inclusive em ataques coordenados por gangues de ransomware.
Por exemplo, o zero-day CVE-2021-20016 SMA 100 foi usado para implantar o ransomware FiveHands a partir de janeiro de 2021, quando também foi explorado em ataques contra os sistemas internos da SonicWall . Antes de ser corrigida duas semanas depois, no início de fevereiro de 2021 , a mesma falha também foi abusada indiscriminadamente na natureza .
Em julho, a SonicWall alertou sobre o aumento do risco de ataques de ransomware direcionados a produtos SMA 100 sem correção e produtos de acesso remoto seguro. No entanto, CrowdStrike, pesquisadores de segurança da Coveware e CISA alertaram que os operadores de ransomware HelloKitty já estavam atacando os dispositivos SonicWall .
Mais de 500.000 clientes empresariais de 215 países estão usando os produtos SonicWall em todo o mundo, muitos deles implantados nas redes de agências governamentais e das maiores empresas do mundo.
Atualização: Intervalo de lançamento do patch CVE-2021-20016 corrigido.