Geçen ay ele alınan SonicWall’ın Güvenli Mobil Erişim (SMA) ağ geçitlerini etkileyen kritik önemdeki bir güvenlik açığı, şimdi devam eden istismar girişimlerinde hedefleniyor.
Hata, web uygulaması güvenlik duvarı (WAF) etkinleştirildiğinde bile SMA 100 serisi cihazları (SMA 200, 210, 400, 410 ve 500v dahil) etkileyen, CVE-2021-20038 olarak izlenen, kimliği doğrulanmamış yığın tabanlı bir arabellek taşmasıdır.
Başarılı bir istismar, kimliği doğrulanmamış uzak saldırganların, güvenliği ihlal edilmiş SonicWall cihazlarında ‘hiç kimse’ kullanıcısı olarak kod yürütmesine izin verebilir.
“Geçici bir hafifletme yok. SonicWall, etkilenen müşterileri mümkün olan en kısa sürede uygulanabilir yamaları uygulamaya çağırıyor.” şirket Aralık ayında söyledi CVE-2021-20038 güvenlik güncellemelerini yayınladıktan sonra, o sırada hatanın vahşi doğada istismar edildiğine dair hiçbir kanıt bulunmadığını ekledi.
Ancak bugün, NCC Group Baş Güvenlik Danışmanı ve güvenlik açığını bulan ve bildiren Richard Warren, tehdit aktörlerinin şimdi vahşi doğada güvenlik açığından yararlanmaya çalıştıklarını söyledi.
Warren, saldırganların bilinen SonicWall cihazlarının varsayılan şifrelerini parola püskürterek kaba kuvvetle girmeye çalıştıklarını da sözlerine ekledi.
Güvenlik araştırmacısı “CVE-2021-20038 (SonicWall SMA RCE) üzerinde bazı denemeler. Ayrıca son birkaç gündeki varsayılan parolaların bazı parola püskürtmesi. Varsayılan parolayı güncellemeyi VE değiştirmeyi unutmayın” tweetlendi bugün.
Warren ayrıca BleepingComputer’a “Anladığım kadarıyla başarılı görünmüyorlar” dedi. “Bu istismarı kullanmak için çok sayıda istekte bulunmanız gerekir (bir milyon gibi). Muhtemelen şanslarını deniyorlar veya istismarı anlamıyorlar.”
Saldırganlara karşı savunmak için şimdi yama yapın
Devam eden bu saldırılar henüz başarılı olmasa da, SonicWall müşterilerinin bilgisayar korsanlığı girişimlerini engellemek için SMA 100 cihazlarına yama yapmaları önerilir.
SMA 100 kullanıcılarının kendi sitelerinde oturum açmaları önerilir. MySonicWall.com bellenimi bu belgede belirtilen sürümlere yükseltmek için hesaplar SonicWall PSIRT Danışmanlığı.
Ürün yazılımının nasıl yükseltileceği konusunda yardım mevcuttur bu bilgi bankası makalesinde veya iletişime geçerek SonicWall’ın desteği.
SonicWall SMA 100 cihazları, 2021’in başından bu yana, fidye yazılımı çeteleri tarafından koordine edilen saldırılar da dahil olmak üzere birden fazla kampanyada hedef alındı.
Örneğin, CVE-2021-20016 SMA 100 sıfır gün kullanıldı FiveHands fidye yazılımını dağıtmak için karşı saldırılarda da kullanıldığı Ocak 2021’den başlayarak SonicWall’ın dahili sistemleri. Neredeyse iki ay sonra yamalanmadan önce, Şubat 2021 sonu, aynı kusur da oldu vahşi doğada ayrım gözetmeksizin istismar edildi.
Temmuz ayında, SonicWall şu uyarıyı yaptı: artan fidye yazılımı saldırıları riski yama uygulanmamış kullanım ömrü sonu SMA 100 serisi ve Güvenli Uzaktan Erişim ürünlerini hedefleme. Ancak CrowdStrike, Coveware güvenlik araştırmacıları ve CISA, HelloKitty fidye yazılımı operatörleri zaten SonicWall cihazlarını hedefliyordu.
500.000’den fazla ticari müşteri 215 ülkeden dünya çapında SonicWall ürünlerini kullanıyor ve bunların çoğu devlet kurumlarının ve dünyanın en büyük şirketlerinin ağlarında kullanılıyor.