Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Хакеры эксплуатируют три 0-day уязвимости в SonicWall ES

21/04/21

SonicWall-1Хакеры эксплуатируют три уязвимости нулевого дня в продукте SonicWall для взлома корпоративных сетей и установки бэкдоров. Атаки впервые были обнаружены ИБ-компанией FireEye в марте 2021 года, когда один из ее клиентов обратился к ней за помощью в устранении последствий инцидента безопасности.

Как сообщают специалисты FireEye, злоумышленники воспользовались тремя ранее неизвестными уязвимостями в решении безопасности для электронной почты SonicWall ES, которое сканирует почтовый трафик на предмет киберугроз.

За атаками стоит киберпреступная группировка, которой специалисты FireEye присвоили идентификатор UNC2682. Хакеры проэксплуатировали уязвимость обхода аутентификации ( CVE-2021-20021 ), получили возможность читать файлы на устройстве ( CVE-2021-20023 ) и модифицировали локальные файлы для установки web-оболочек, играющих роль бэкдора ( CVE-2021-20022 ). Как пояснили исследователи, для достижения своих целей злоумышленники использовали эти уязвимости в различных комбинациях.

Атака проходит по следующей схеме: хакеры получают доступ к установкам SonicWall ES и создают новые учетные записи администратора или похищают пароли уже существующих пользователей. Злоумышленники также извлекают из устройств SonicWall ES файлы с данными аккаунтов, в том числе учетные данные Active Directory, использующиеся приложениями для подключения к локальной сети.

На финальном этапе атаки хакеры загружают во встроенный в устройство web-сервер Tomcat Java версию web-оболочки BEHINDER JSP, которую затем используют для запуска команд на операционной системе. Эти команды позволяют злоумышленникам собирать дополнительные подробности об атакуемой корпоративной сети. По словам исследователей, хакеры воспользовались собранными данными, чтобы проникнуть внутрь сети, через несколько дней после их похищения.

SonicWall исправила все три уязвимости 13 апреля 2021 года, но в то время не представила никаких сведений о них. Только 20 апреля компания сообщила , что они уже эксплуатируются в реальных атаках.

Темы:УгрозыFireEye0-day уязвимостиSonicWall
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...