Η εταιρεία Cybersecurity Sonicwall έχει προειδοποιήσει τους πελάτες ότι πολλά τρωτά σημεία που επηρεάζουν τις συσκευές ασφαλούς κινητής πρόσβασης (SMA) τώρα εκμεταλλεύονται ενεργά σε επιθέσεις.
Την Τρίτη, η Sonicwall ενημερώθηκε συμβουλές ασφαλείας για το CVE-2023-44221 και CVE-2024-38475 Ανεξαρτητικά ελαττώματα για να επισημάνει τα δύο τρωτά σημεία ως “ενδεχομένως εκμεταλλεύονται στην άγρια φύση”.
Το CVE-2023-44221 περιγράφεται ως ευπάθεια έγχυσης εντολών υψηλής διαχώρισης που προκαλείται από την ακατάλληλη εξουδετέρωση των ειδικών στοιχείων στη διεπαφή διαχείρισης SSL-VPN SMA100 που επιτρέπει στους επιτιθέμενους με προνόμια διαχειριστή να εισάγουν αυθαίρετες εντολές ως χρήστης «κανένας».
Το δεύτερο σφάλμα ασφαλείας, CVE-2024-38475, χαρακτηρίζεται ως ένα ελάττωμα κρίσιμης σοβαρότητας που προκαλείται από την ακατάλληλη διαφυγή της παραγωγής στο Mod_rewrite στο Apache HTTP Server 2.4.59 και νωρίτερα. Η επιτυχής εκμετάλλευση μπορεί να επιτρέψει μη αυθεντικούς, απομακρυσμένους επιτιθέμενους να αποκτήσουν εκτέλεση κώδικα με τη χαρτογράφηση των διευθύνσεων URL σε θέσεις συστήματος που επιτρέπεται να εξυπηρετούνται από το διακομιστή.
Τα δύο τρωτά σημεία επηρεάζουν τις SMA 200, SMA 210, SMA 400, SMA 410 και SMA 500V συσκευές και είναι patched σε firmware έκδοση 10.2.1.14-75SV και αργότερα.
“Κατά τη διάρκεια περαιτέρω ανάλυσης, οι συνεργάτες Sonicwall και Trusted Security εντόπισαν μια πρόσθετη τεχνική εκμετάλλευσης χρησιμοποιώντας το CVE-2024-38475, μέσω της οποίας η μη εξουσιοδοτημένη πρόσβαση σε ορισμένα αρχεία θα μπορούσε να επιτρέψει την αεροπειρατεία της περιόδου σύνδεσης” Προειδοποίησε ο Sonicwall Σε μια ενημερωμένη συμβουλή.
“Κατά τη διάρκεια της περαιτέρω ανάλυσης, οι συνεργάτες Sonicwall και Trusted Security ανέλαβαν ότι το” CVE-2023-44221-Post Authentication OS Command Injection “Η ευπάθεια ενδεχομένως εκμεταλλεύεται στην άγρια φύση”. πρόσθεσε. “Το Sonicwall PSIRT συνιστά στους πελάτες να αναθεωρήσουν τις συσκευές SMA τους για να εξασφαλίσουν μη εξουσιοδοτημένες συνδέσεις.”
Νωρίτερα αυτό το μήνα, η εταιρεία σηματοδότησε ένα άλλο ελάττωμα υψηλής έντονης περιόδου πριν από σχεδόν τέσσερα χρόνια και παρακολούθησε ως CVE-2021-20035 όπως εκμεταλλεύεται ενεργά σε επιθέσεις εκτέλεσης απομακρυσμένου κώδικα που στοχεύουν στις συσκευές SMA100 VPN. Μια μέρα αργότερα, η εταιρεία Cybersecurity Arctic Wolf δήλωσε ότι η CVE-2021-20035 είχε υπό την ενεργό εκμετάλλευση από τουλάχιστον τον Ιανουάριο του 2025.
CISA επίσης πρόσθεσε το σφάλμα ασφαλείας προς το Γνωστή εκμετάλλευση τρωτών σημείων καταλόγουπαραγγέλλοντας τις ομοσπονδιακές υπηρεσίες των ΗΠΑ για να εξασφαλίσουν τα δίκτυά τους ενάντια σε συνεχιζόμενες επιθέσεις.
Τον Ιανουάριο, η Sonicwall προέτρεψε τους διαχειριστές να επιδιορθώσουν ένα κρίσιμο ελάττωμα στις ασφαλείς πύλες πρόσβασης SMA1000 που εκμεταλλεύτηκαν σε επιθέσεις μηδενικής ημέρας και ένα μήνα αργότερα προειδοποίησε για μια ενεργά εκμεταλλευόμενη παράκαμψη ταυτότητας στην παράκαμψη των Gen 6 και Gen 7 που επιτρέπει στους hackers hijack VPN Sessions.
VIA: bleepingcomputer.com
