Συσκευές Sonicwall SMA VPN που στοχεύουν σε επιθέσεις από τον Ιανουάριο

Μια απομακρυσμένη ευπάθεια εκτέλεσης κώδικα που επηρεάζει τις συσκευές SonicWall Secure Mobile Access (SMA) έχει υποστεί ενεργό εκμετάλλευση από τουλάχιστον τον Ιανουάριο του 2025, σύμφωνα με την εταιρεία Cybersecurity Arctic Wolf.

Αυτό το ελάττωμα ασφαλείας (CVE-2021-20035) Επιπτώσεις SMA 200, SMA 210, SMA 400, SMA 410 και συσκευές SMA 500V και διορθώθηκε σχεδόν πριν από τέσσερα χρόνια, τον Σεπτέμβριο του 2021, όταν η Sonicwall δήλωσε ότι θα μπορούσε να εκμεταλλευτεί μόνο για να καταργήσει τις επιθέσεις των ευάλωτων συσκευών.

Ωστόσο, η Εταιρεία ενημέρωσε τη συμβουλευτική τετραετή ασφάλεια τη Δευτέρα για να επισημάνει το σφάλμα ασφαλείας όπως εκμεταλλεύεται σε επιθέσεις, να επεκτείνει τον αντίκτυπο για να συμπεριλάβει την εκτέλεση του απομακρυσμένου κώδικα και να αναβαθμίσει τη βαθμολογία CVSS από τη μέση έως την μεγάλη σοβαρότητα.

“Αυτή η ευπάθεια πιστεύεται ότι εκμεταλλεύεται ενεργά στην άγρια ​​φύση. Ως προληπτικό μέτρο, το Sonicwall PSIRT έχει ενημερώσει την περίληψη και αναθεώρησε τη βαθμολογία CVSS σε 7.2”, δήλωσε ο Sonicwall.

Η επιτυχής εκμετάλλευση μπορεί να επιτρέψει στους απομακρυσμένους ηθοποιούς απειλής με χαμηλά προνόμια να εκμεταλλευτούν μια “ακατάλληλη εξουδετέρωση των ειδικών στοιχείων στη διεπαφή διαχείρισης SMA100” για την έγχυση αυθαίρετων εντολών ως χρήστη «κανείς» και εκτελεί αυθαίρετο κώδικα σε επιθέσεις χαμηλής πολυπλοκότητας.

Η CISA έχει επίσης προσθέσει την ευπάθεια σε αυτήν Γνωστή εκμετάλλευση τρωτών σημείων καταλόγουεπιβεβαίωση Τώρα έχει κακοποιηθεί σε άγρια ​​φύση και την παραγγελία των ομοσπονδιακών οργανισμών πολιτικού εκτελεστικού κλάδου (FCEB) για να εξασφαλίσουν τα δίκτυά τους ενάντια στις συνεχιζόμενες επιθέσεις μέχρι τις 7 Μαΐου.

Εκμεταλλεύτηκε ενεργά από τον Ιανουάριο

Ημέρες μετά την Sonicwall επισημάνει το σφάλμα ασφαλείας όπως εκμεταλλεύτηκε στην άγρια ​​φύση χωρίς να μοιράζονται όταν ξεκίνησαν οι επιθέσεις, η εταιρεία Cybersecurity Arctic Wolf ανέφερε ότι οι ηθοποιοί απειλής χρησιμοποίησαν το CVE-2021-20035 εκμεταλλεύσεις σε επιθέσεις ήδη από τον Ιανουάριο του 2025.

Σε αυτήν την καμπάνια, οι επιτιθέμενοι χρησιμοποίησαν επίσης έναν τοπικό λογαριασμό Super Admin με έναν προεπιλεγμένο κωδικό πρόσβασης για να στοχεύσουν τις συσκευές SMA 100 με τη διεπαφή διαχείρισης που εκτίθεται στο διαδίκτυο.

“Η Arctic Wolf έχει εντοπίσει μια συνεχιζόμενη εκστρατεία πρόσβασης VPN Access Access που στοχεύει τις συσκευές SMA 100 Series, με χρονικό πλαίσιο έναρξης ήδη από τον Ιανουάριο του 2025, που εκτείνεται μέχρι τον Απρίλιο του 2025,” είπε η εταιρεία στον κυβερνοχώρο.

“Μια αξιοσημείωτη πτυχή της εκστρατείας ήταν η χρήση ενός τοπικού λογαριασμού Super Admin (admin@localdomain) σε αυτές τις συσκευές, η οποία έχει έναν ανασφαλές προεπιλεγμένο κωδικό πρόσβασης”.

Για να εμποδίσουν τις επιθέσεις CVE-2021-20035 που στοχεύουν τις συσκευές Sonicwall, οι υπερασπιστές του Arctic Wolf συμβουλεύουν τους υπερασπιστές δικτύου για να περιορίσουν την πρόσβαση VPN στους ελάχιστους απαραίτητους λογαριασμούς, να απενεργοποιήσουν τους μη απαραίτητους λογαριασμούς, να επιτρέπουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων για όλους τους λογαριασμούς και να επαναπροσδιορίζουν τους κωδικούς πρόσβασης για όλους τους τοπικούς λογαριασμούς σε Sonicwall Sma Firewalls.

Τον Φεβρουάριο, η Sonicwall προέτρεψε επίσης τους πελάτες τον Ιανουάριο να επιδιορθώσουν μια κρίσιμη ευπάθεια που επηρεάζει τις ασφαλείς πύλες πρόσβασης SMA1000 μετά από αναφορές ότι είχαν ήδη εκμεταλλευτεί σε επιθέσεις μηδενικής ημέρας και, ένα μήνα αργότερα, προειδοποίησαν για μια ενεργή εκμετάλλευση των αναδίπλωσης ταυτότητας στο Gen 6 και Gen 7 Firewalls που μπορούν να αφήσουν τους hackers να hijack VPN συνεδριάσεις.