Hakerzy już go wykorzystują.
Dotknięty jest Secure Mobile Access 100
Firma SonicWall (dostawca zabezpieczeń sieciowych) oświadczyła w poniedziałek, że hakerzy wykorzystują krytyczną lukę w zabezpieczeniach jednego ze sprzedawanych przez nią urządzeń. Luka w zabezpieczeniach tkwi w serii Secure Mobile Access 100 i dotyczy oprogramowania układowego SMA 100 w wersji 10.x.
Poniedziałkowa informacja nadeszła dzień po tym, jak zajmująca się bezpieczeństwem firma NCC Group poinformowała na Twitterze, że wykryła szerokie wykorzystanie exploita na wolności. Tweet NCC odnosił się do wcześniejszej wersji publikacji autorstwa SonicWall, w której stwierdzono, że jego pracownicy zidentyfikowali skoordynowany atak na systemy wewnętrzne przez wysoce zawansowanych sprawców, wykorzystujących prawdopodobne luki zero-day w niektórych produktach bezpiecznego, zdalnego dostępu SonicWall.
Rezultaty śledztwa
W e-mailu rzeczniczka NCC Group napisała:
Nasz zespół zauważył oznaki próby wykorzystania luki w zabezpieczeniach urządzeń SonicWall SMA 100. Ściśle współpracujemy z SonicWall, aby dokładniej to zbadać.
W poniedziałkowej aktualizacji przedstawiciele SonicWall powiedzieli, że zespół inżynierów tej firmy potwierdził, że zgłoszenie przez NCC Group zawierało błąd zero-day w kodzie SMA 100 serii 10.x. SonicWall oznaczył to jako SNWLID-2021-0001. Seria SMA 100 to linia bezpiecznych urządzeń do zdalnego dostępu.
Nie pierwsza sytuacja na taką skalę
Wskutek tej wiadomości SonicWall stała się co najmniej piątą dużą firmą, która zgłosiła w ostatnich tygodniach, że stała się celem wyrafinowanego ataku. Inne firmy obejmują dostawcę narzędzi do zarządzania siecią SolarWinds, Microsoft, FireEye i Malwarebytes. CrowdStrike również zgłosił, że był celem, ale atak się nie powiódł.
Ani SonicWall, ani NCC Group nie powiedziały, że włamanie do SonicWall był powiązany z większą kampanią hakerską SolarWinds. Opierając się jednak na czasie ujawnienia i niektórych zawartych w nim szczegółach, rozpowszechniane są spekulacje, że te dwa elementy są ze sobą powiązane.
SonicWall radzi
Grupa NCC odmówiła podania dodatkowych szczegółów, zanim błąd zeroday zostanie naprawiony, aby zapobiec dalszemu wykorzystywaniu luki. Osoby korzystające z serii SonicWall SMA 100 powinny uważnie przeczytać porady firmy i postępować zgodnie z instrukcjami dotyczącymi zabezpieczania produktów przed wydaniem poprawki:
- Jeśli musisz kontynuować działanie urządzenia SMA 100 Series do czasu udostępnienia poprawki włącz MFA. Jest to krok KRYTYCZNY do momentu udostępnienia poprawki. Ponadto zresetuj hasła użytkowników dla kont korzystających z serii SMA 100 z oprogramowaniem układowym 10.X.
- Jeśli seria SMA 100 (10.x) znajduje się za fireallem, zablokuj cały dostęp do SMA 100 na zaporze.
- Wyłącz urządzenie z serii SMA 100 (10.x) do czasu udostępnienia poprawki.
- Załaduj oprogramowanie układowe w wersji 9.x po ponownym uruchomieniu ustawień fabrycznych. Utwórz wcześniej kopię zapasową ustawień 10.x *
Ważna uwaga: bezpośrednie obniżenie wersji oprogramowania sprzętowego z wersji 10.x do 9.x z nienaruszonymi ustawieniami nie jest obsługiwane. Najpierw należy ponownie uruchomić urządzenie z ustawieniami fabrycznymi, a następnie załadować kopię zapasową konfiguracji 9.x lub ponownie skonfigurować SMA 100 od podstaw. Jeśli zdecydujesz się zainstalować wersję 9.x, upewnij się, że postępujesz zgodnie z najlepszymi wskazówkami dotyczącymi zabezpieczeń uwierzytelniania wieloskładnikowego (MFA).
Zapory SonicWall i urządzenia z serii SMA 1000, a także wszyscy klienci VPN, zgodnie z zapewnieniami SonicWall pozostają bezpieczne w użyciu.
