Vpn-accounts op SonicWall-gateways zijn sinds januari het doelwit van aanvallen, zo stelt securitybedrijf Arctic Wolf. Mogelijk combineren de aanvallers gecompromitteerde vpn-accounts met een vier jaar oud lek om zo code op kwetsbare gateways uit te voeren. Eerder deze week waarschuwde SonicWall klanten voor misbruik van een uit 2021 stammend beveiligingslek in de SMA 100-gateways die het levert.

Via de kwetsbaarheid (CVE-2021-20035) kan een geauthenticeerde aanvaller willekeurige commando's als een 'nobody' user injecteren, wat kan leiden tot het uitvoeren van code. De SMA is een gateway waarmee medewerkers vanaf allerlei willekeurige apparaten op afstand toegang tot de netwerken en cloudomgevingen van hun organisatie kunnen krijgen. Het biedt verschillende functies, zoals een vpn.

Voor de genoemde kwetsbaarheid verscheen op 23 september 2021 een beveiligingsupdate. Afgelopen dinsdag 15 april voorzag SonicWall het beveiligingsbulletin van een update dat aanvallers actief misbruik van de kwetsbaarheid maken. Details over de aanvallen zijn niet door het bedrijf gegeven. Arctic Wolf zegt dat het sinds januari aanvallen ziet waarbij wordt geprobeerd om toegang tot vpn-accounts op de gateway te krijgen.

Via deze accounts kan de aanvaller vervolgens een kwetsbaarheid zoals CVE-2021-20035 gebruiken om de gateway verder te compromitteren. Volgens het securitybedrijf is de waargenomen 'VPN credential access campaign' mogelijk gekoppeld aan misbruik van het lek, maar hard bewijs hiervoor wordt niet gegeven.