速升级！SonicWall 3个已遭利用的严重0day 影响企业邮件安全设备

其中，CVE-2021-20021和CVE-2021-20022 是由火眼公司在2021年3月26日发现并报告的。当时火眼公司在Windows Server 2021 运行 SonicWall ES 应用程序的客户环境中可通过互联网访问的系统上检测到利用后的 web shell 活动。第三个漏洞也由火眼公司在2021年4月6日披露给 SonicWall。

火眼公司将该恶意活动称为 “UNC2682”。

研究员 Josh Fleischer、Chris DiGiamo 和 Alex Pennino 表示，“这些漏洞被组合利用于获取管理员访问权限并在 SonicWall ES 设备上执行代码。”攻击者具有扎实的 SonicWall 应用知识，他们利用这些漏洞安装后门、访问文件和邮件，并横向移动到受害者所在组织机构的网络中。“

这三个漏洞的概况如下：

这种管理员访问权限不仅可使攻击者利用 CVE-2021-20023读取配置文件，计算包含关于现有账户信息的文件以及活动目录凭据，而且还能滥用CVE-2021-20022 上传包含基于 JSP 的 web shell （BEHINDER，接收加密的 C2 通信）的 ZIP 文档。

火眼公司指出，“在服务器上增加 web shell 后，攻击者拥有对命令提示符的无限访问权限，具有 NT AUTHORITY\SYSTEM 账户的继承权限。之后攻击者利用 LotL （living off the land） 技术收割凭据、在网络中横向移动，甚至压缩包含由 SonicWall ES 处理的日常邮件文档。“

火眼公司发现，攻击者在被隔离和删除前，升级了攻击活动，开展了内部侦察活动，不过时间短暂。攻击者背后的真实动机尚不明朗。

建议 SonicWall 用户升级至 10.0.9.6173热补丁 (Windows) 和10.0.9.6177热补丁（硬件和 ESXi虚拟设备）。SonicWall Hosted ES 产品已于4月19日自动更新，因此用户无需手动打补丁。