Spoločnosť SonicWall opravila kritické zraniteľnosti produktu pre emailovú bezpečnosť

Spoločnosť SonicWall opravila 3 vážne zraniteľnosti, ktoré získali hodnotenie CVSS 6,7 a 9,4. Najzávažnejšia zo zraniteľností by mohla útočníkovi umožniť vzdialene vytvoriť administrátorský účet poslaním špeciálne vytvorenej http požiadavky zraniteľnému zariadeniu. CSIRT.SK odporúča bezodkladne aktualizovať zraniteľné zariadenia vo svojej správe a predísť tak odcudzeniu dát, či možnému rozšíreniu malvéru v organizácii.

Dôsledky

  • Kompromitácia infraštruktúry
  • Odcudzenie citlivých dát organizácie
  • Zašifrovanie infraštruktúry

Opis činnosti

Zraniteľnosti sa týkajú zariadení, ktoré majú zákazníci lokálne inštalované v infraštruktúre. Zriadenia a softvér SonicWall Email Security poskytujú viacvrstvovú ochranu infraštruktúry pred prichádzajúcimi a odchádzajúcimi emailovými správami. Zariadenie skenuje všetku prichádzajúcu a odchádzajúcu emailovú komunikáciu, filtruje ju podľa Allow/Deny listov, poskytuje aktívnu ochranu pred malvérom v reálnom čase a snaží sa predchádzať cieleným phishingovým a spoofingovým útokom. Kompromitácia takéhoto zariadenia by mala obrovský dopad na bezpečnosť celej infraštruktúry organizácie.

CVE-2021-20021 (CVSS 9,4)

Kritická zraniteľnosť umožňuje útočníkovi vytvoriť administrátorský účet v zraniteľnom zariadení. Potencionálny vzdialený útočník by mohol odoslaním špeciálne vytvorenej http požiadavky vytvoriť administrátorský účet v cieľovom zraniteľnom zariadení. Úspešným zneužitím zraniteľnosti by mohol útočník dosiahnuť úplnú kompromitáciu infraštruktúry organizácie, šírenie ransomvéru či odcudzenie citlivých údajov organizácie.

CVE-2021-20022 (CVSS 6,7)

Stredne závažná zraniteľnosť umožňuje potencionálnemu vzdialenému útočníkovi po úspešnej autentifikácii nahrať ľubovoľný súbor na zraniteľné zariadenie. Zraniteľnosť vyžaduje autentifikáciu v zariadení, čo ju robí samostatne menej nebezpečnou. Zraniteľnosť môže byť však úspešne zneužitá útočníkom v kombinácii so zraniteľnosťou CVE-2021-20021. Potencionálny vzdialený útočník by mohol zraniteľnosť zneužiť na vykonanie, alebo šírenie ľubovoľného škodlivého kódu.

CVE-2021-20023 (CVSS 6,7)

Ďalšia rovnako stredne závažná zraniteľnosť umožňuje potencionálnemu vzdialenému a autentifikovanému útočníkovi čítať ľubovoľný súbor nachádzajúci sa v cieľovom, vzdialenom, zraniteľnom zariadení. Zraniteľnosť môže byť úspešne zneužitá útočníkom v kombinácii so zraniteľnosťou CVE-2021-20021. Potencionálne úspešný vzdialený autentifikovaný útočník by zraniteľnosť mohol zneužiť na odcudzenie citlivých dát organizácie.

Zraniteľné systémy

  • SonicWall Email Security verzie 10.0.9.x po 10.0.9.6103
  • Hosted Email Security (HES) – aktualizácia zabezpečená výrobcom, nevyžadujú sa žiadne kroky

Závažnosť zraniteľnosti
Vysoká

Možné škody
Vzdialené vykonávanie kódu
Únik citlivých informácií

Odporúčania

  • Aktualizovať zariadenie On-premise Email Security vo svojej infraštruktúre aspoň na verziu 10.0.9.6103
  • Vždy udržiavať zariadenia aktualizované
  • Indikátory kompromitácie si môžete skontrolovať podľa tohto článku

Odkazy
https://thehackernews.com/2021/04/3-zero-day-exploits-hit-sonicwall.html
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0007
https://www.fireeye.com/blog/threat-research/2021/04/zero-day-exploits-in-sonicwall-email-security-lead-to-compromise.html