以己之矛攻己之盾:黑客利用 SonicWall 产品的多个0day 攻击其内网
编译:奇安信代码卫士团队
上周五晚,网络设备制造商 SonicWall 指出,检测到一起“协作式攻击”,正在调查内网安全事件。
SonicWall 是著名的硬件防火墙设备、VPN网关和网络安全解决方案厂商,其产品常用于 SMB/SME 和大型企业组织机构中。
上周五网上,SonicWall 公司在知识库门户发布紧急的简短声明指出,“高阶威胁行动者”,“利用SonicWall 某些安全远程访问产品中很可能存在的0day” 攻击其内网系统。
SonicWall 指出,受影响的产品包括 NetExtender VPN 客户端和 Secure Mobile Access (SMA) 网关:
被用于连接到 SMA 100 系列设备和 SonicWall 防火墙的NetExtender VPN 客户端版本10.x(于2020年发布)。
在 SMA 200、SMA 210、SMA 400、SMA 410 物理设备以及 SMA 500v 虚拟设备上的 Secure Mobile Access (SMA) 版本10.x。
不受影响的产品:
SonicWall 防火墙:影响 SMA 100 系列 (SMA 200、SMA 210、SMA 400、SMA 410、SMA 500v) 的漏洞并不影响所有的 SonicWall 防火墙产品。客户或合作伙伴均无需采取任何行动。
NetExtender VPN 客户端:虽然之前经沟通获悉NetExtender 10.X 中可能存在 0day,但目前这一可能性已被排除。它可能与所有 SonicWall 产品配合使用。客户或合作伙伴均无需采取任何行动。
SMA 1000 系列:该产品线不受影响。客户可使用 SMA 1000 系列及相关客户端。客户或合作伙伴无需采取任何行动。SonicWall 公司指出,更新版本的 SMA 1000 系列并不受影响,因为该产品系列使用的是另外一个 VPN 客户端而非 NetExtender。
SonicWall SonicWave Aps:客户或合作伙伴无需采取任何行动。
仍在调查的:
SMA 100 系列:目前仍在调查该产品中是否存在漏洞,不过可以发布如下和部署用例相关的指南:
当前的 SMA 100 系列客户可继续使用具有对 SMA 100 系列远程访问权限的 NetExtender。Bleeping Computer 认为该用例并不易受攻击。
建议 SMA 100 系列管理员创建具体访问规则或禁用从互联网的 Virtual Office 和 HTTPS 管理员访问权限,目前该漏洞仍在调查。
Secure Mobile Access (SMA) 是为内部网络提供 VPN 访问权限的物理设备,而 NetExtender VPN 客户端是一种软件客户端,用于连接支持 VPN 连接的兼容性防火墙。
SonicWall 公司并未发布关于这些 0day 的详情。从缓解措施来看,似乎是可在公开可访问设备上被远程利用的预认证漏洞。
目前这些 0day 尚不存在补丁。
为保护客户网络的安全,SonicWall公司在文章中提供了一系列缓解措施,如部署防火墙,限制可以和 SMA 设备交互的对象,或者通过NetExtender VPN 客户端禁用对防火墙的访问。SonicWall 公司还督促企业在产品中为管理员账户启用双因素认证选项。
BleepingComputer 报道称,上周三,一名威胁行动者联系称他们手中握有关于某著名防火墙厂商产品中某0day 的情况。但目前尚不清楚是否和 SonicWall 事件有关。
这名人员指出,“我手中我有一家著名防火墙厂商及其它安全产品被黑的信息,它们一致沉默且并未向客户公开,这些客户正在遭受因多个0day而引发的攻击和活动,其中不乏非常大型的技术企业。”但之后这名人员并未发送任何邮件。
VPN 漏洞已成为攻击者访问并攻陷企业内网的流行手段。一旦威胁行动者获得访问权限,就会在网络中横向移动同时窃取文件或部署勒索软件。
此前被用于攻击中的一些 VPN 设备包括 CVE-2019-11510 Pulse VPN 缺陷、CVE-2019-19781思科 NetScaler 漏洞以及 CVE-2020-5902 严重的 F5 BIG-IP 缺陷。
SonicWall 公司的产品常用于保护企业网络的访问权限,已成为两个月来继火眼公司、微软和 Malwarebytes 之后的第四家披露安全事件的安全公司。前三家公司在 SolarWinds 供应链攻击中受影响。CrowdStrike 公司表示也遭到攻击但攻击并未成功。
此外,思科也遭 SolarWinds 黑客攻击,上个月表示正在调查攻击者是否提权,从而访问思科的其它网络。
威胁情报社区的多个消息来源人士表示,SonicWall 公司可能遭到勒索攻击。
专家因发现谷歌内网漏洞赢5000美元奖励
SolarWinds 供应链攻击中的第四款恶意软件及其它动态
https://www.zdnet.com/article/sonicwall-says-it-was-hacked-using-zero-days-in-its-own-products/
https://www.bleepingcomputer.com/news/security/sonicwall-firewall-maker-hacked-using-zero-day-in-its-vpn-device/
题图:Pixabay License
本文由奇安信代码卫士编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。