SonicWall chiude 3 falle zero-day attivamente sfruttate

Tre falle zero-day hanno permesso a un attaccante remoto di installare una backdoor in un rete target, accedere a fine ed email e attuare movimenti laterali. L'installazione della patch è prioritaria e risolutiva.

Business Vulnerabilità
SonicWall ha pubblicato le patch che correggono tre vulnerabilità zero-day per le quali c'è almeno un caso certo di sfruttamento attivo. Interessano i suoi prodotti di Email Security sia on-premise sia hosted. L'appello contenuto nell'avviso di sicurezza ufficiale è di installare le patch con priorità in tutti i casi in cui le aziende abbiano in uso "strumenti hardware, virtuali o software SonicWall Email Security in Microsoft Windows Server".

La prima delle tre falle è la CVE-2021-20021. Riguarda un problema nella creazione di account amministrativi di sicurezza della posta elettronica. Consente a un attaccante di creare un account amministrativo inviando una richiesta HTTP all'host remoto. La vulnerabilità CVE-2021-20022 riguarda invece la creazione arbitraria di file post-autenticazione. Un attaccante da remoto, dopo essersi autenticato sfruttando la falla precedente, può caricare un file arbitrario nell'host remoto.
fig1Infine, la falla CVE-2021-20023 è relativa alla lettura arbitraria dei file di sicurezza post-autenticazione della posta elettronica. Gli esperti di Mandiant/FireEye, che hanno scoperto i problemi, indicano che nel caso noto un attaccante con un'ottima conoscenza dell'applicazione SonicWall ha sfruttato queste vulnerabilità per installare una backdoor, accedere a file ed email e spostarsi lateralmente nella rete dell'azienda target.

Grazie all'attività di intelligence Mandiant ha impedito agli attaccanti (tracciati con la sigla UNC2682) di completare la missione. È un'ottima notizia per la vittima, ma l'intervento provvidenziale degli esperti ha impedito di capire quali fossero i reali obiettivi dell'attacco.

Nella tabella che segue è incluso l'elenco completo dei prodotti SonicWall interessati da tutte e tre le falle, insieme alle informazioni sulle versioni con le patch.
tabellaRibadiamo che tutte le vulnerabilità sono state corrette. L'unica eccezione riguarda SonicWall Email Security nelle versioni fra la 7.0.0 e la 9.2.2, che hanno raggiunto la fine del ciclo di vita e non sono più supportate. In questo caso le correzioni sono disponibili solo per le aziende che hanno sottoscritto una licenza di supporto attiva, e che dovranno provvedere a scaricare gli aggiornamenti dal proprio account MySonicWall.Ultimo ma non meno importante, SonicWall ha distribuito le firme IPS (Intrusion Prevention System) che servono per rilevare e bloccare gli attacchi che tentano di sfruttare le vulnerabilità di cui sopra.
  • IPS Signature: 15520 WEB-ATTACKS SonicWall Email Security (CVE-2021-20022 Vulnerability)
  • IPS Signature: 1067 WEB-ATTACKS Web Application Directory Traversal Attack 7
  • IPS Signature: 15509 WEB-ATTACKS Web Application Directory Traversal Attack 7 -c2
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Speciali Tutti gli speciali

Speciale sicurezza mobile

Speciale

Proteggere il nuovo smart working

Speciale

Sicurezza cloud native

Speciale

Backup e protezione dei dati

Speciale

Speciale video sorveglianza

Calendario Tutto

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori