SonicWall: ransomware sfrutta falle senza patch in SRA e SMA

SonicWall invita i clienti a disconnettere dalla rete i dispositivi SMA e SRA con firmware 8.x non più supportati e ad aggiornare quelli che beneficiano ancora di supporto attivo.

Autore: Redazione SecurityOpenLab

SonicWall ha pubblicato in alert di emergenza in cui avvisa i clienti di una potenziale campagna ransomware che sfrutta le vulnerabilità prive di patch dei prodotti a fine vita Secure Mobile Access (SMA) 100 e Secure Remote Access (SRA) con firmware 8.x.

L'azienda spiega che gli attaccanti tentano di sfruttare credenziali rubate per approfittare delle vulnerabilità note. SonicWall ha pubblicato una versione più recente del firmware, che consiglia di usare il prima possibile per aggiornare i dispositivi vulnerabili SMA e SRA.

Tuttavia, quella indicata è una misura di mitigazione, non la soluzione definitiva. Come si legge nell'alert, infatti, "per i dispositivi a fine vita interessati con firmware 8.x sono disponibili mitigazioni temporanee. L'uso continuato di questo firmware o dei dispositivi a fine vita costituisce un rischio attivo per la sicurezza. Le aziende che non riescono a intraprendere azioni appropriate per mitigare queste vulnerabilità sui prodotti della serie SRA e SMA 100 sono a rischio imminente di un attacco ransomware mirato".

Ecco quindi l'elenco dei prodotti SMA e SRA a fine vita che eseguono il firmware 8.x: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016), SSL-VPN 200/2000/400 (EOL 2013/2014). SMA 400/200 è ancora supportato, seppure in modalità limitata, quindi bisogna aggiornare immediatamente il firmware alla versione 10.2.0.7-34 o a quella 9.0.0.10.

SMA 210/410/500v è invece attivamente supportato, ma bisogna procedere con gli upgrade. Nello specifico, il firmware 9.x deve essere immediatamente aggiornato a 9.0.0.10-28sv o versione successiva, mentre il firmware 10.x deve essere immediatamente aggiornato a 10.2.0.7-34sv o versione successiva.

SonicWall consiglia inoltre di reimpostare tutte le password collegate a tutti i sistemi SMA e SRA e di abilitare l'autenticazione a più fattori come misura di sicurezza aggiuntiva. Inoltre, il produttore consiglia di disconnettere immediatamente dalla rete i prodotti SRA e SSL che non beneficiano più del supporto attivo.

Aggiornamento: anche se SonicWall non ha rivelato l'identità dei cyber criminali dietro agli attacchi contro i suoi dispositivi, gli esperti di CrowdStrike reputano che fra gli attaccanti attivi ci sia il gruppo ransomware HelloKitty.  Attivo da novembre 2020, è noto più che altro per gli attacchi ai danni di Cyberpunk 2077, Witcher 3, Gwent, e altri videogiochi.

Visualizza la versione completa sul sito

Informativa
Questo sito o gli strumenti terzi da questo utilizzati si avvalgono di cookie necessari al funzionamento ed utili alle finalità illustrate nella cookie policy. Se vuoi saperne di più o negare il consenso a tutti o ad alcuni cookie, consulta la cookie policy. Chiudendo questo banner, acconsenti all’uso dei cookie.