SonicWall recommande aux usagers de patcher 3 failles exploitées activement

0

Le fabricant de matériel de sécurité SonicWall recommande à ses clients de corriger un ensemble de trois vulnérabilités zero-day affectant à la fois ses produits physiques et Email Security.

« Dans au moins un cas connu, ces vulnérabilités ont été observées en train d’être exploitées ‘dans la nature' », a déclaré SonicWall dans un avis de sécurité publié plus tôt.

La société a déclaré qu’il est « impératif » que les organisations utilisant ses appareils matériels de sécurité d’e-mail, ses appareils virtuels, ou ses installations logicielles sur les machines Microsoft Windows Server mettent immédiatement à niveau vers une version patchée.

Les trois failles zero-day ont été rapportés par Josh Fleischer et Chris DiGiamo de Mandiant, et ils sont identifiés comme:

  • CVE-2021-20021 : Vulnérabilité de création administrative de compte de pré-authentification d’E-mail Security qui permet à un attaquant de créer un compte administratif en envoyant une requête HTTP à l’hébergeur distant (mises à jour de sécurité publiées le 9 avril)
  • CVE-2021-20022 : Vulnérabilité arbitraire de création de fichiers post-authentification d’E-mail Security qui permet à un attaquant post-authentifié de télécharger un fichier arbitraire vers l’hébergeur distant (mises à jour de sécurité publiées le 9 avril)
  • CVE-2021-20023 : Vulnérabilité arbitraire de lecture de fichiers post-authentification d’E-mail Security qui permet à un attaquant post-authentifié de lire un fichier arbitraire de l’hébergeur distant (mises à jour de sécurité publiées le 19 avril)

« L’adversaire a tiré parti de ces vulnérabilités, avec une connaissance intime de l’application SonicWall, pour installer une porte dérobée, accéder à des fichiers et des e-mails, et se déplacer latéralement dans le réseau de l’organisation victime », a déclaré FireEye.

« Mandiant suit actuellement cette activité sous le nom de UNC2682. En fin de compte, Mandiant a empêché UNC2682 d’achever sa mission donc les objectifs de l’attaque restent actuellement inconnus.

La liste complète des produits affectés de SonicWall par les trois failles zero-day est disponible dans le tableau ci-dessous, ainsi que des informations sur les versions patchées et des liens vers des avis de sécurité.

Version AffectéVersion PatchéeAvis de PSIRT
Email Security (ES) 10.0.4-Present
Email Security 10.0.3
Email Security 10.0.2
Email Security 10.0.1
Email Security 10.0.9.6173 (Windows)SNWLID-2021-0007
SNWLID-2021-0008
SNWLID-2021-0010
Email Security (ES) 10.0.4-Present
Email Security 10.0.3
Email Security 10.0.2
Email Security 10.0.1
Email Security 10.0.9.6177
(Hardware & ESXi Virtual Appliance)
SNWLID-2021-0007
SNWLID-2021-0008
SNWLID-2021-0010
Hosted Email Security (HES) 10.0.4-Present
Hosted Email Security 10.0.3
Hosted Email Security 10.0.2
Hosted Email Security 10.0.1
Hosted Email Security 10.0.9.6173
(Patched Automatically)
SNWLID-2021-0007
SNWLID-2021-0008
SNWLID-2021-0010

L’Hosted Email Security (HES) de SonicWall a été automatiquement patché le lundi 19 avril, et aucune action n’est nécessaire de la part des clients qui utilisent uniquement le produit de sécurité d’e-mail hébergé de SonicWall.

Des conseils étape par étape sur la façon d’appliquer les mises à jour de sécurité sont disponibles dans cet article de connaissances de base.

« SonicWall Email Security versions 7.0.0-9.2.2 sont également touchés par les vulnérabilités ci-dessus », a ajouté la société.

« Cependant, ces versions ont atteint leur fin de vie et ne sont plus prises en charge. Les organisations utilisant ces versions de produits t ont une licence de support active peuvent télécharger les dernières versions d’E-mail Security à partir de leur compte MySonicWall. »

SonicWall a révélé en Janvier 2021 que des pirates informatiques inconnus exploitaient une vulnérabilité zero-day dans leurs produits clients Secure Mobile Access (SMA) et NetExtender VPN lors d’attaques ciblant les systèmes internes de l’entreprise.

Un mois plus tard, SonicWall a corrigé une vulnérabilité zero-day activement exploitée, ce qui a eu un impact sur la série SMA 100 d’appareils de réseautage SonicWall.

Laisser un commentaire