25/01/22
Киберпреступники активно эксплуатируют уязвимость удаленного выполнения кода, затрагивающую шлюзы SonicWall Secure Mobile Access (SMA).
Проблема представляет собой уязвимость переполнения буфера в стеке без проверки подлинности (CVE-2021-20038) и затрагивает устройства серии SMA 100 (включая SMA 200, 210, 400, 410 и 500v), даже когда межсетевой экран web-приложений (Web application firewall, WAF) включен.
Успешная эксплуатация может позволить удаленным неавторизованным злоумышленникам выполнить код от имени пользователя «никто» на скомпрометированных устройствах SonicWall.
Как сообщил главный консультант по безопасности в NCC Group Ричард Уоррен (Richard Warren), в настоящее время злоумышленники пытаются использовать уязвимость в реальных атаках. Хакеры пытаются проникнуть внутрь сетей, вводя пароли по умолчанию для известных устройств SonicWall.
Хотя текущие атаки еще не увенчались успехом, клиентам SonicWall рекомендуется установить исправления на свои устройства SMA 100 с целью заблокировать попытки взлома. Пользователям SMA 100 рекомендуется войти в свои учетные записи MySonicWall.com и обновить прошивку до исправленных версий.
С начала 2021 года устройства SonicWall SMA 100 стали целью вредоносных кампаний. Например, в январе прошлого года SonicWall опубликовала срочное уведомление о проникновении хакеров в его внутренние системы через уязвимость нулевого дня VPN-продуктах. Злоумышленники проэксплуатировали ранее неизвестную уязвимость в VPN-устройстве Secure Mobile Access (SMA) и VPN-клиенте NetExtender для осуществления «сложной» атаки на внутренние системы.
