Netwerkbeveiligingsleverancier SonicWall heeft beveiligingsupdates beschikbaar gemaakt voor drie actief aangevallen zerodaylekken waar voor zover bekend al sinds maart misbruik van wordt gemaakt. De kwetsbaarheden zijn aanwezig in de Email Security-oplossing van SonicWall.
Deze oplossing moet organisaties tegen allerlei soorten aanvallen via e-mail beschermen en kan als een fysieke server, virtual appliance, software-installatie of gehoste SaaS-oplossing worden uitgerold. Het product biedt een beheerdersinterface. Deze interface hoeft niet vanaf het internet toegankelijk te zijn. Toch zijn er volgens securitybedrijf FireEye zevenhonderd beheerdersinterfaces publiek toegankelijk.
In maart ontdekten onderzoekers van FireEye dat de SonicWall Email Security (ES) applicatie die op een Windows-server van een klant draaide was gecompromitteerd. Verder onderzoek wees uit dat de aanvallers voor deze aanval drie zerodaylekken hadden gebruikt. Via de kwetsbaarheden installeerden de aanvallers een backdoor, benaderden bestanden en e-mails en bewogen zich lateraal door het netwerk van de aangevallen organisatie.
De gevaarlijkste kwetsbaarheid wordt aangeduid als CVE-2021-20021. Op een schaal van 1 tot en met 10 wat betreft de impact is dit beveiligingslek met een 9,4 beoordeeld. De kwetsbaarheid maakt het mogelijk voor aanvallers om zonder enige authenticatie een eigen beheerdersaccount toe te voegen en zo op de beheerdersinterface in te loggen.
De SonicWall Email Security-applicatie biedt ingelogde beheerders de mogelijkheid om een aanvullende beheerder van een andere Microsoft Active Directory Organization Unit (AD OU) in te stellen. Bij verzoeken naar deze feature werd echter niet gekeken of de persoon die het verzoek deed wel op de applicatie was ingelogd. Zodoende kan een aanvaller zonder enige authenticatie een verzoek sturen en zo een eigen beheerdersaccount aanmaken. De andere twee zerodaylekken zijn alleen door een geauthenticeerde aanvaller te misbruiken en maken het mogelijk om bestanden te lezen en te uploaden.
Bij de waargenomen aanval maakten de aanvallers eerst een beheerdersaccount aan. Vervolgens werden gehashte wachtwoorden van een lokaal aangemaakt beheerdersaccount bemachtigd en een webshell geïnstalleerd om toegang tot het systeem te behouden. Bij de aangevallen organisatie bleek dat het lokale beheerderswachtwoord voor meerdere hosts in het domein werd gebruikt. Hierdoor konden de aanvallers zich via dit account lateraal door de organisatie bewegen.
Verder maakten de aanvallers gebruik van al aanwezige applicaties om niet op te vallen. Zo werd een al geïnstalleerde versie van archiveringsprogramma 7-Zip gebruikt om e-mails op het aangevallen systeem te archiveren en vervolgens te stelen. SonicWall stelt dat het van groot belang is dat organisaties de beschikbaar gestelde beveiligingsupdates installeren.
Deze posting is gelocked. Reageren is niet meer mogelijk.