Spoločnosť SonicWall opravila kritické zraniteľnosti produktu pre emailovú bezpečnosť
Spoločnosť SonicWall opravila 3 vážne zraniteľnosti, ktoré získali hodnotenie CVSS 6,7 a 9,4. Najzávažnejšia zo zraniteľností by mohla útočníkovi umožniť vzdialene vytvoriť administrátorský účet poslaním špeciálne vytvorenej http požiadavky zraniteľnému zariadeniu. CSIRT.SK odporúča bezodkladne aktualizovať zraniteľné zariadenia vo svojej správe a predísť tak odcudzeniu dát, či možnému rozšíreniu malvéru v organizácii.
Dôsledky
- Kompromitácia infraštruktúry
- Odcudzenie citlivých dát organizácie
- Zašifrovanie infraštruktúry
Opis činnosti
Zraniteľnosti sa týkajú zariadení, ktoré majú zákazníci lokálne inštalované v infraštruktúre. Zriadenia a softvér SonicWall Email Security poskytujú viacvrstvovú ochranu infraštruktúry pred prichádzajúcimi a odchádzajúcimi emailovými správami. Zariadenie skenuje všetku prichádzajúcu a odchádzajúcu emailovú komunikáciu, filtruje ju podľa Allow/Deny listov, poskytuje aktívnu ochranu pred malvérom v reálnom čase a snaží sa predchádzať cieleným phishingovým a spoofingovým útokom. Kompromitácia takéhoto zariadenia by mala obrovský dopad na bezpečnosť celej infraštruktúry organizácie.
CVE-2021-20021 (CVSS 9,4)
Kritická zraniteľnosť umožňuje útočníkovi vytvoriť administrátorský účet v zraniteľnom zariadení. Potencionálny vzdialený útočník by mohol odoslaním špeciálne vytvorenej http požiadavky vytvoriť administrátorský účet v cieľovom zraniteľnom zariadení. Úspešným zneužitím zraniteľnosti by mohol útočník dosiahnuť úplnú kompromitáciu infraštruktúry organizácie, šírenie ransomvéru či odcudzenie citlivých údajov organizácie.
CVE-2021-20022 (CVSS 6,7)
Stredne závažná zraniteľnosť umožňuje potencionálnemu vzdialenému útočníkovi po úspešnej autentifikácii nahrať ľubovoľný súbor na zraniteľné zariadenie. Zraniteľnosť vyžaduje autentifikáciu v zariadení, čo ju robí samostatne menej nebezpečnou. Zraniteľnosť môže byť však úspešne zneužitá útočníkom v kombinácii so zraniteľnosťou CVE-2021-20021. Potencionálny vzdialený útočník by mohol zraniteľnosť zneužiť na vykonanie, alebo šírenie ľubovoľného škodlivého kódu.
CVE-2021-20023 (CVSS 6,7)
Ďalšia rovnako stredne závažná zraniteľnosť umožňuje potencionálnemu vzdialenému a autentifikovanému útočníkovi čítať ľubovoľný súbor nachádzajúci sa v cieľovom, vzdialenom, zraniteľnom zariadení. Zraniteľnosť môže byť úspešne zneužitá útočníkom v kombinácii so zraniteľnosťou CVE-2021-20021. Potencionálne úspešný vzdialený autentifikovaný útočník by zraniteľnosť mohol zneužiť na odcudzenie citlivých dát organizácie.
Zraniteľné systémy
- SonicWall Email Security verzie 10.0.9.x po 10.0.9.6103
- Hosted Email Security (HES) – aktualizácia zabezpečená výrobcom, nevyžadujú sa žiadne kroky
Závažnosť zraniteľnosti
Vysoká
Možné škody
Vzdialené vykonávanie kódu
Únik citlivých informácií
Odporúčania
- Aktualizovať zariadenie On-premise Email Security vo svojej infraštruktúre aspoň na verziu 10.0.9.6103
- Vždy udržiavať zariadenia aktualizované
- Indikátory kompromitácie si môžete skontrolovať podľa tohto článku
Odkazy
https://thehackernews.com/2021/04/3-zero-day-exploits-hit-sonicwall.html
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0007
https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html