Attackers Leverage SonicWall VPN Flaw to Compromise SRA Appliances
2021/06/11 SecurityWeek — セキュリティ・ベンダーの CrowdStrike の警告によると、古い VPN セキュリティの欠陥を悪用する悪意のハッカーが、SonicWall SRA (secure remote access) デバイスを侵害しているようだ。この脆弱性 CVE-2019-7481 に関しては、2019年に SonicWall がパッチを提供しているが、このレガシー SRA デバイスの問題が、ファームウェア・アップデートでは適切に緩和されなかったと、CrowdStrike は警告している。
CrowdStrikeによると、すでに PoC エクスプロイト・コードが公開されており、このバグを悪用する大物のランサムウェア・アクターが、古い SonicWall SRA 4600 VPN デバイスを侵害しているとされる。SonicWall によると、CVE-2019-7481 が影響するのはバージョン 9.0.0.3 以前のデバイスであり、アップデートされた Secure Mobile Access ファームウェアには、この SRA デバイスに対応するパッチが含まれているという。しかし、ファームウェア・バージョン 9.0.0.5 を分析したところ、古い SonicWall SRA 4600 デバイスでもインジェクション攻撃が有効であることが判明し、2019年に提供された Secure Mobile Access デバイス用のパッチが、SRA アプライアンスでは効果がないことを意味する。
SonicWall によると、この SRA デバイスのサポートは終了しているため、アップグレードが推奨されているようです。この脆弱性により、攻セッション・データが攻撃者に対して露呈しますが、二要素認証を利用することで、攻撃の遅延や停止が可能なると、CrowdStrike は付け加えています。
IoT OT Security News 