SonicWall: ransomware sfrutta falle senza patch in SRA e SMA
SonicWall invita i clienti a disconnettere dalla rete i dispositivi SMA e SRA con firmware 8.x non più supportati e ad aggiornare quelli che beneficiano ancora di supporto attivo.
SonicWall ha pubblicato in alert di emergenza in cui avvisa i clienti di una potenziale campagna ransomware che sfrutta le vulnerabilità prive di patch dei prodotti a fine vita Secure Mobile Access (SMA) 100 e Secure Remote Access (SRA) con firmware 8.x.
L'azienda spiega che gli attaccanti tentano di sfruttare credenziali rubate per approfittare delle vulnerabilità note. SonicWall ha pubblicato una versione più recente del firmware, che consiglia di usare il prima possibile per aggiornare i dispositivi vulnerabili SMA e SRA.
Tuttavia, quella indicata è una misura di mitigazione, non la soluzione definitiva. Come si legge nell'alert, infatti, "per i dispositivi a fine vita interessati con firmware 8.x sono disponibili mitigazioni temporanee. L'uso continuato di questo firmware o dei dispositivi a fine vita costituisce un rischio attivo per la sicurezza. Le aziende che non riescono a intraprendere azioni appropriate per mitigare queste vulnerabilità sui prodotti della serie SRA e SMA 100 sono a rischio imminente di un attacco ransomware mirato".
Ecco quindi l'elenco dei prodotti SMA e SRA a fine vita che eseguono il firmware 8.x: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016), SSL-VPN 200/2000/400 (EOL 2013/2014). SMA 400/200 è ancora supportato, seppure in modalità limitata, quindi bisogna aggiornare immediatamente il firmware alla versione 10.2.0.7-34 o a quella 9.0.0.10.
SMA 210/410/500v è invece attivamente supportato, ma bisogna procedere con gli upgrade. Nello specifico, il firmware 9.x deve essere immediatamente aggiornato a 9.0.0.10-28sv o versione successiva, mentre il firmware 10.x deve essere immediatamente aggiornato a 10.2.0.7-34sv o versione successiva.
SonicWall consiglia inoltre di reimpostare tutte le password collegate a tutti i sistemi SMA e SRA e di abilitare l'autenticazione a più fattori come misura di sicurezza aggiuntiva. Inoltre, il produttore consiglia di disconnettere immediatamente dalla rete i prodotti SRA e SSL che non beneficiano più del supporto attivo.
Aggiornamento: anche se SonicWall non ha rivelato l'identità dei cyber criminali dietro agli attacchi contro i suoi dispositivi, gli esperti di CrowdStrike reputano che fra gli attaccanti attivi ci sia il gruppo ransomware HelloKitty. Attivo da novembre 2020, è noto più che altro per gli attacchi ai danni di Cyberpunk 2077, Witcher 3, Gwent, e altri videogiochi.
L'azienda spiega che gli attaccanti tentano di sfruttare credenziali rubate per approfittare delle vulnerabilità note. SonicWall ha pubblicato una versione più recente del firmware, che consiglia di usare il prima possibile per aggiornare i dispositivi vulnerabili SMA e SRA.
Tuttavia, quella indicata è una misura di mitigazione, non la soluzione definitiva. Come si legge nell'alert, infatti, "per i dispositivi a fine vita interessati con firmware 8.x sono disponibili mitigazioni temporanee. L'uso continuato di questo firmware o dei dispositivi a fine vita costituisce un rischio attivo per la sicurezza. Le aziende che non riescono a intraprendere azioni appropriate per mitigare queste vulnerabilità sui prodotti della serie SRA e SMA 100 sono a rischio imminente di un attacco ransomware mirato".
Ecco quindi l'elenco dei prodotti SMA e SRA a fine vita che eseguono il firmware 8.x: SRA 4600/1600 (EOL 2019), SRA 4200/1200 (EOL 2016), SSL-VPN 200/2000/400 (EOL 2013/2014). SMA 400/200 è ancora supportato, seppure in modalità limitata, quindi bisogna aggiornare immediatamente il firmware alla versione 10.2.0.7-34 o a quella 9.0.0.10. SMA 210/410/500v è invece attivamente supportato, ma bisogna procedere con gli upgrade. Nello specifico, il firmware 9.x deve essere immediatamente aggiornato a 9.0.0.10-28sv o versione successiva, mentre il firmware 10.x deve essere immediatamente aggiornato a 10.2.0.7-34sv o versione successiva.
SonicWall consiglia inoltre di reimpostare tutte le password collegate a tutti i sistemi SMA e SRA e di abilitare l'autenticazione a più fattori come misura di sicurezza aggiuntiva. Inoltre, il produttore consiglia di disconnettere immediatamente dalla rete i prodotti SRA e SSL che non beneficiano più del supporto attivo.
Aggiornamento: anche se SonicWall non ha rivelato l'identità dei cyber criminali dietro agli attacchi contro i suoi dispositivi, gli esperti di CrowdStrike reputano che fra gli attaccanti attivi ci sia il gruppo ransomware HelloKitty. Attivo da novembre 2020, è noto più che altro per gli attacchi ai danni di Cyberpunk 2077, Witcher 3, Gwent, e altri videogiochi.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
