Attackers now actively targeting critical SonicWall RCE bug
2022/01/24 BleepingComputer — SonicWall の Secure Mobile Access (SMA) ゲートウェイに影響をおよぼす深刻な脆弱性だが、先月に対処されていながら、現在でも悪用されようとしている。この脆弱性 CVE-2021-20038 は、スタックバッファ・オーバーフローを引き起こす可能性があり、WAF が有効な場合であっても、SMA 100 シリーズのアプライアンス (SMA 200/210/400/410/500v を含む) に影響をおよぼす。
この脆弱性の悪用に成功すると、認証されていないリモートの攻撃者に対して、侵害された SonicWall アプライアンスの nobody ユーザーとして、コードの実行を許す可能性が生じる。
SonicWall は 2021年12月に、CVE-2021-20038 に対するセキュリティ・アップデートをリリースした後に、「一時的な緩和策はない。影響を受ける顧客には、可能な限り早く適用可能なパッチを実装することを推奨する」と述べていた。その当時、このバグがワイルドに悪用された証拠は見つからないとも付け加えていた。
しかし、今日になって、この脆弱性を発見/報告した NCC Group の Principal Security Consultant である Richard Warren が、この脆弱性の悪用を試みる脅威アクターがいると発言した。
Warren は、「攻撃者は、既知の SonicWall アプライアンスのデフォルト設定に対して、パスワード・スプレーをかけて、ブルートフォースで侵入しようとしている。その中には、SonicWall SMA RCE 脆弱性 CVE-2021-20038 の悪用も含まれている。ここ数日は、デフォルト・パスワードを用いた、パスワード・スプレーも行われている。アップデートとデフォルト・パスワードの変更を確認してほしい」とツイートしている。
Warren は BleepingComputer に対して、「私が見た限りでは、成功しているようには見えません。この脆弱性を悪用するには、膨大な数のリクエストを行う必要がある。おそらく、このエクスプロイトを理解していないのだろう」と語っている。
攻撃者から身を守るために早急なパッチ適用が必要
これらの継続的な攻撃は、現時点では成功していないが、SonicWall の顧客には、SMA 100 アプライアンスにパッチを適用し、ハッキングの試みをブロックすることが推奨される。SMA 100 のユーザーは、MySonicWall.com アカウントにログインし、SonicWall PSIRT Advisory に記載されているバージョンに、ファームウェアをアップグレードすべきだ。ファームウェアのアップグレード方法については、このナレッジベースの記事を参照するか、SonicWall のサポートに問い合わせてほしい。
SonicWall SMA 100 アプライアンスは、ランサムウェア・ギャングによる攻撃を含め、2021年に入ってから複数のキャンペーンで標的にされている。たとえば、SMA 100 のゼロデイ脆弱性である CVE-2021-20016 は、2021年1月から FiveHands ランサムウェアの展開に悪用され、SonicWall の社内システムに対する攻撃にも使用された。また、2021年2月下旬にパッチが適用される前に、ワイルドかつ無差別に悪用された。
2021年7月に SonicWall は、パッチが適用されていない SMA 100シリーズや Secure Remote Access を標的とした、ランサムウェア攻撃のリスクが高まっていると警告した。しかし、CrowdStrike/Coveware のセキュリティ研究者たち、そして CISA は、HelloKitty ランサムウェアのオペレータが、すでに SonicWall アプライアンスを標的にしていると警告した。
SonicWall 製品は、世界215カ国の50万社以上のエンタープライズ顧客に利用されており、政府機関や大企業のネットワークに導入されている。
この脆弱性 CVE-2021-20038 ですが、お隣のキュレーション・チームに聞いてみたところ、2021年12月10日にレポートをアップしているとのことでした。また、12月18日の「SonicWall の深刻な懸念と警告:SMA 100 シリーズのバグに迅速なパッチを」という記事でも、パッチの適用が促されていましたが、新たな攻撃パターンが展開されているようです。
IoT OT Security News 