Le fabricant de pare-feu SonicWall piraté en utilisant Zero-Day dans son appareil VPN

Le fabricant de matériel de sécurité SonicWall a publié un avis de sécurité urgent sur les acteurs de la menace exploitant une vulnérabilité zero-day dans leurs produits VPN pour effectuer des attaques sur leurs systèmes internes.

SonicWall est un fabricant bien connu de dispositifs de pare-feu matériels, de passerelles VPN et de solutions de sécurité réseau dont les produits sont couramment utilisés dans les PME / PMI et les grandes entreprises.

Vendredi soir, SonicWall a publié un ‘avis urgent’ déclarant que les pirates utilisaient une vulnérabilité zero-day dans leur dispositif VPN Secure Mobile Access (SMA) et son client VPN NetExtender dans une attaque « sophistiquée » sur leurs systèmes internes.

«Récemment, SonicWall a identifié une attaque coordonnée sur ses systèmes internes par des acteurs hautement sophistiqués exploitant des vulnérabilités« zero-day »probables sur certains produits d’accès distant sécurisé SonicWall», déclare l’avis de sécurité de SonicWall publié vendredi soir.

SonicWall étudie actuellement les appareils concernés par cette vulnérabilité. Voici l’état actuel de cette enquête:

Secure Mobile Access (SMA) est un périphérique physique qui fournit un accès VPN aux réseaux internes, tandis que le client VPN NetExtender est un client logiciel utilisé pour se connecter à des pare-feu compatibles prenant en charge les connexions VPN.

SonicWall déclare que les clients peuvent se protéger en activant l’authentification multifacteur (MFA) sur les appareils concernés et en restreignant l’accès aux appareils en fonction des adresses IP de la liste blanche.

SonicWall n’a pas publié d’informations détaillées sur les vulnérabilités zero-day. Sur la base des étapes d’atténuation, il semble qu’il s’agisse de vulnérabilités pré-authentification qui peuvent être exploitées à distance sur des appareils accessibles au public.

BleepingComputer a contacté SonicWall avec des questions sur cette attaque mais n’a pas eu de réponse.

Si vous avez des informations de première main à ce sujet ou sur d’autres cyberattaques non signalées, vous pouvez nous contacter en toute confidentialité sur Signal au +16469613731 ou sur Wire à @ lawrenceabrams-bc.

Mercredi, BleepingComputer a été contacté par un acteur de la menace qui a déclaré avoir des informations sur un jour zéro chez un fournisseur de pare-feu bien connu. On ne sait pas si cela est lié à la divulgation SonicWall.

« J’ai des informations sur le piratage d’un fournisseur de pare-feu bien connu et d’autres produits de sécurité par ce qu’ils sont silencieux et ne publient pas de communiqués de presse pour leurs clients qui sont attaqués en raison de plusieurs 0 jours en particulier les très grandes entreprises sont des entreprises technologiques vulnérables, « BleepingComputer a été informé par e-mail.

Cette personne n’a jamais répondu à d’autres courriels.

Les vulnérabilités VPN sont une méthode populaire permettant aux acteurs de la menace d’accéder au réseau interne d’une entreprise et de le compromettre. Une fois que les acteurs de la menace y ont accès, ils se propagent latéralement sur le réseau tout en volant des fichiers ou en déployant des ransomwares.

Certains des périphériques VPN qui ont été historiquement utilisés dans les attaques incluent la faille CVE-2019-11510 Pulse VPN, le bogue CVE-2019-19781 Citrix NetScaler et la faille critique F5 BIG-IP CVE-2020-5902.

Mise à jour 24/01/21: article mis à jour pour inclure une nouvelle liste des appareils concernés et non affectés.