Užpuoliai dabar nukreipia autentifikavimo apėjimo pažeidžiamumą, paveikdami „Sonicwall“ ugniasienes netrukus po to, kai išleido koncepcijos įrodymo (POC) išnaudojimo kodą.
Šis saugumo trūkumas (CVE-2024-53704), pažymėtas CISA kaip kritinį sunkumą ir rastas SSLVPN autentifikavimo mechanizme, daro įtaką „Sonicos“ versijoms 7.1.x (iki 7.1.1-7058), 7.1.2-7019 ir 8.0. 0-8035, naudojamas keliuose „Gen 6“ ir „Gen 7“ ugniasienių ir SOHO serijos įrenginių modeliuose.
Sėkmingas išnaudojimas leidžia nuotoliniams užpuolikams užgrobti aktyvius SSL VPN sesijas be autentifikavimo, kuris jiems suteikia neteisėtą prieigą prie taikinių tinklų.
„Sonicwall“ paragino klientus nedelsdami atnaujinti savo „Firewalls“ „Sonicos“ programinę -aparatinę įrangą, kad būtų išvengta išnaudojimo el. Laiške, išsiųstame prieš viešai atskleidžiant pažeidžiamumą ir išleidus saugos atnaujinimus sausio 7 d.
Bendrovė taip pat pasidalino administratorių švelninimo priemonėmis, kurios negalėjo iš karto užsitikrinti savo įrenginių, įskaitant galimybę apriboti prieigą prie patikimų šaltinių ir visiškai apriboti prieigą iš interneto, jei to nereikia.
Ketvirtadienį kibernetinio saugumo kompanija „Arctic Wolf“ teigė, kad jie pradėjo aptikti bandymus išnaudoti bandymus, nukreiptus į šį išpuolių pažeidžiamumą “, netrukus po to, kai POC buvo paviešintas“, patvirtindamas Sonicwall baimę dėl padidėjusio pažeidžiamumo išnaudojimo potencialo.
„Išleistas„ POC Exploit “leidžia neautentifikuotam grėsmės veikėjui apeiti MFA, atskleisti asmeninę informaciją ir nutraukti bėgimo VPN sesijas“, – teigė Arkties vilkas.
„Atsižvelgiant į tai, kaip paprastas išnaudojimas ir turimas grėsmės intelektas,„ Arctic Wolf “labai rekomenduoja atnaujinti į fiksuotą programinę -aparatinę įrangą, kad būtų galima išspręsti šį pažeidžiamumą.”
„POC Exploit“ išleistas praėjus mėnesiui po pataisos
„Bishop Fox“ saugumo tyrinėtojai vasario 10 d. Išleido „POC Exploit“, maždaug po mėnesio po to, kai buvo išleisti pataisos.
Vyskupas Foxas pridūrė, kad maždaug 4500 nepaliestų „Sonicwall SSL VPN“ serverių buvo atskleisti internetu, remiantis vasario 7 d. Interneto nuskaitymais.
„„ Sonicos SSLVPN “autentifikavimo aplinkkelio pažeidžiamumas (CVE-2024-53704) yra viešai prieinami“,-perspėjo Sonicwall perspėjama po to, kai buvo išleistas išnaudojimo kodas.
„Tai žymiai padidina išnaudojimo riziką. Klientai turi nedelsdami atnaujinti visas nepaliestas ugniasienes (7.1.x ir 8.0.0). Jei pritaikydami programinės įrangos atnaujinimą neįmanoma, išjunkite SSLVPN.”
Anksčiau „Akira“ ir „Fog Ransomware“ filialai taip pat nukreipė „SonicWall“ ugniasienes. „Arctic Wolf“ spalį perspėjo, kad mažiausiai 30 įsibrovimų prasidėjo nuotolinio tinklo prieiga per „Sonicwall“ VPN sąskaitas.
