Ba lỗ hổng 0-day trong sản phẩm Email Security của SonicWall đang bị tin tặc khai thác

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:2017, 22/04/21, 05:04 PM.

  1. WhiteHat News #ID:2017

    WhiteHat News #ID:2017 VIP Members

    Tham gia: 20/03/17, 10:03 AM
    Bài viết: 351
    Đã được thích: 110
    Điểm thành tích:
    43

    Nhà cung cấp mất khoảng hai tuần để phát hành các bản vá nhưng đã có cảnh báo công khai về việc lỗ hổng bị khai thác.

    sonicwall-hacking.jpg
    FireEye, công ty đã phát hiện các lỗ hổng cũng như hoạt động khai thác tích cực của tin tặc trong tháng 3/2021, vừa cảnh báo đã quan sát được việc khai thác các lỗ hổng trong sản phẩm Email Security của SonicWall để cài backdoor, truy cập email, file và xâm nhập vào mạng của nạn nhân.

    Hiện tại, FireEye chưa tìm thấy mối liên hệ giữa những kẻ tấn công với bất kỳ nhóm tin tặc nào đã biết trước đó. Công ty này cũng nhấn mạnh các tin tặc dường như có "kiến thức sâu sắc" về cách thức hoạt động của sản phẩm SonicWall.

    Một trong những lỗ hổng đang bị khai thác (CVE-2021-20021) là lỗi nghiêm trọng cho phép kẻ tấn công từ xa, không cần xác thực tạo tài khoản quản trị bằng cách gửi các truy vấn HTTP đặc biệt tới hệ thống mục tiêu.

    Các lỗ hổng khác gồm CVE-2021-20022 và CVE-2021-20023, có thể bị kẻ tấn công đã xác thực tải lên các tệp và đọc các tệp tùy ý tương ứng từ máy chủ. Hai lỗ hổng này được đánh giá có mức độ nghiêm trọng trung bình dựa trên điểm CVSS, nhưng sẽ rất nguy hiểm khi chúng được kết hợp với CVE-2021-20021.

    SonicWall cho biết các lỗ hổng ảnh hưởng đến Email Security cho Windows cũng như phần cứng và thiết bị ảo ESXi. Hosted Email Security cũng bị ảnh hưởng nhưng đã được vá tự động. Ngoài các bản vá, nhà cung cấp đã phát hành chữ ký IPS để phát hiện và chặn các cuộc tấn công.

    Ngày 13/4, nhà nghiên cứu Kevin Beaumont đã cảnh báo các tổ chức về mức độ nghiêm trọng của các lỗ hổng bảo mật và vào ngày 16 tháng 4, ông cho biết có thể SonicWall đã không liên hệ và cảnh báo khách hàng cập nhật bản vá trước khi thông tin các lỗ hổng bị khai thác được công bố.

    Trong một bài đăng mô tả các lỗ hổng và các cuộc tấn công, FireEye cho biết những kẻ tấn công đã nhắm mục tiêu vào phiên bản mới nhất của ứng dụng Email Security chạy trên Windows Server 2012. Tin tặc đã khai thác CVE-2021-20021 để chiếm được quyền truy cập quản trị vào hệ thống SonicWall, sau đó khai thác lỗ hổng CVE -2021-20023 để lấy các tệp chứa thông tin về tài khoản hiện có, thông tin đăng nhập Active Directory và cuối cùng thông qua lỗ hổng CVE-2021-20022 để triển khai web shell có tên BEHINDER.

    BEHINDER, tương tự như web shell khét tiếng của nhóm China Chopper, giúp kẻ tấn công truy cập không hạn chế vào máy chủ bị xâm nhập.

    Các nhà nghiên cứu của FireEye giải thích: “Kẻ tấn công dựa vào các kỹ thuật “living off the land” (tin tặc sử dụng các công cụ hoặc tính năng đã có sẵn trong môi trường mục tiêu) hơn là đưa các công cụ riêng của mình vào môi trường nạn nhân. Điều này giúp kẻ tấn công có thể tránh bị các sản phẩm bảo mật phát hiện.

    Đây là lần thứ hai SonicWall vá các lỗ hổng đang bị khai thác trong năm nay. Vào tháng 1/2021, công ty này tiết lộ các hệ thống nội bộ của hãng đã bị tin tặc trình độ cao khai thác các lỗ hổng 0-day trong các sản phẩm Truy cập Di động Bảo mật (SMA).

    SonicWall sau đó đã có phản hồi như sau:

    “SonicWall đã biết và xác minh một số lỗ hổng 0-day cụ thể - trong đó có ít nhất một lỗ hổng đang bị khai thác trong thực tế. SonicWall đã thiết kế, thử nghiệm và công bố các bản vá để khắc phục sự cố và thông báo những biện pháp giảm thiểu nguy cơ bị tấn công tới các khách hàng và đối tác.

    SonicWall đặc biệt khuyến nghị khách hàng - cũng như các tổ chức trên toàn thế giới – thường xuyên cập nhật bản vá để tăng cường sức mạnh an ninh của cộng đồng”.

    Theo Securityweek
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan