SonicWall met en garde contre un risque de ransomware « critique »

0

SonicWall a publié un « avis de sécurité urgent » avertissant les clients des attaques de ransomware ciblant les produits Secure Mobile Access (SMA) 100 Series et Secure Remote Access (SRA) en fin de vie et non corrigés.

« Grâce à la collaboration avec des tiers de confiance, SonicWall a été mis au courant des menaces ciblant activement les produits Secure Mobile Access (SMA) 100 et Secure Remote Access (SRA) fonctionnant sans correctif et en fin de vie dans une campagne de ransomware imminente utilisant des identifiants volés », a déclaré la société.

Selon SonicWall, les attaques ciblent une vulnérabilité connue corrigée dans les nouvelles versions du micrologiciel et n’affectent pas les produits de la série SMA 1000.

« Les organisations qui ne prennent pas les mesures appropriées pour atténuer ces vulnérabilités sur leurs produits des séries SRA et SMA 100 courent un risque imminent d’attaque ciblée par ransomware », prévient SonicWall.

Déconnecter ou mettre à jour les appareils concernés

Les entreprises qui utilisent encore des appareils SMA et/ou SRA en fin de vie avec le firmware 8.x sont invitées à mettre à jour le firmware immédiatement ou à déconnecter les appliances dès que possible pour parer au risque critique d’attaques par ransomware.

Les clients utilisant des appareils SMA 210/410/500v activement pris en charge avec le micrologiciel vulnérable 8.x ciblé dans ces attaques sont également invités à mettre à jour immédiatement vers la dernière version, ce qui atténue les vulnérabilités découvertes au début de 2021.

sonicwall

« Comme atténuation supplémentaire, vous devez également réinitialiser immédiatement toutes les informations d’identification associées à votre appareil SMA ou SRA, ainsi qu’à tout autre appareil ou système utilisant les mêmes informations d’identification », ajoute SonicWall. « Comme toujours, nous vous recommandons fortement d’activer l’authentification multifacteur (MFA). »

Selon le produit qu’ils utilisent, SonicWall recommande aux organisations de :

  • SRA 4600/1600 (Fin de vie 2019)
    • Déconnectez-vous immédiatement
    • Réinitialiser les mots de passe
  • SRA 4200/1200 (Fin de vie 2016)
    • Déconnectez-vous immédiatement
    • Réinitialiser les mots de passe
  • SSL-VPN 200/2000/400 (Fin de vie 2013/2014)
    • Déconnectez-vous immédiatement
    • Réinitialiser les mots de passe
  • SMA 400/200 (Toujours pris en charge, en mode de retraite limité)
    • Mise à jour immédiate vers 10.2.0.7-34 ou 9.0.0.10
    • Réinitialiser les mots de passe
    • Activer l’authentification multifacteur

Vulnérabilité ciblée dans les attaques en cours

Alors que la société affirme que le risque d’attaques par ransomware est imminent, le PDG de Coveware, Bill Siegel, a déclaré que la campagne de ransomware est en cours.

Heather Smith, chercheuse en sécurité de CrowdStrike, a également déclaré que la vulnérabilité ciblée dans ces attaques est identifiée comme CVE-2019-7481.

« Les équipes de réponse aux incidents de CrowdStrike Services ont identifié des acteurs eCrime utilisant une ancienne vulnérabilité du VPN de SonicWall, CVE-2019-7481, qui affecte les appareils Secure Remote Access (SRA) 4600 », ont déclaré les chercheurs dans un rapport publié en juin.

Ils ont ajouté que « la possibilité d’exploiter la vulnérabilité pour affecter les appareils SRA n’avait pas été divulguée auparavant par SonicWall ».

SonicWall a également publié un avis de sécurité avec des détails supplémentaires, créditant Heather Smith et Hanno Heinrichs de CrowdStrike (les chercheurs à l’origine du rapport de juin) d’avoir signalé le problème affectant les produits SRA et SMA en fin de vie.

Appareils SonicWall précédemment ciblés par les ransomwares

En Avril, des acteurs malveillants ont également exploité un bogue zero-day dans les appliances VPN SonicWall SMA 100 Series pour déployer une nouvelle souche de ransomware connue sous le nom de FiveHands sur les réseaux de cibles nord-américaines et européennes.

Ce groupe de menaces, suivi par Mandiant sous le nom UNC2447, a exploité la vulnérabilité CVE-2021-20016 de SonicWall pour violer les systèmes et fournir des charges utiles de ransomware FiveHands avant que SonicWall ne publie des correctifs fin Février 2021.

La même faille zero-day a également été abusée lors d’attaques ciblant les systèmes internes de SonicWall en janvier et plus tard exploité sans discernement dans la nature.

En Mars, les analystes des menaces de Mandiant ont découvert trois autres vulnérabilités zero-day dans les produits Email Security sur site et hébergés de SonicWall.

Ces zero-days ont également été activement exploitées par un groupe identifié comme UNC2682 vers des systèmes de porte dérobée utilisant des shells Web BEHINDER, leur permettant de se déplacer latéralement sur les réseaux des victimes et d’accéder aux e-mails et aux fichiers.

Si cet article vous a plu, n’oubliez pas de jeter un œil à nos bons plans.

Laisser un commentaire