Posté le février 3, 2021 à 14:21
LES HACKERS EXPLOITENT UNE VULNÉRABILITÉ ZERO DAY DES APPAREILS SONICWALL SMA 100
Le fournisseur de sécurité réseau SonicWall a confirmé que sa série SMA 100 (Secure Mobile Access) a été victime d’une attaque zero day. L’entreprise a également déclaré que le zero-day a été exploité.
Selon l’entreprise, la vulnérabilité affecte le code 10.x du firmware du SMA 100. SonicWall a déclaré que des milliers d’appareils ont été exposés en raison de la vulnérabilité zero day. Cependant, le fournisseur de cybersécurité a déclaré qu’il fournira bientôt des correctifs pour la vulnérabilité.
Mais pour l’instant, les clients doivent renforcer leurs systèmes de sécurité et suivre les protocoles de cybersécurité. L’entreprise a également fait part, entretemps, à ses clients des recommandations visant à protéger leurs systèmes et leur réseau contre d’éventuelles attaques.
Exploitation abusive d’un exploit
Le 22 janvier, SonicWall a révélé qu’un acteur malveillant lance une attaque coordonnée sur ses systèmes internes ». Selon ce rapport, l’équipe de sécurité a également déclaré que les acteurs malveillants étaient capables d’explorer les vulnérabilités zero day de certains produits à accès distant sécurisé de l’entreprise.
Cependant, la récente mise à jour de lundi arrive à peine 24 heures après que le groupe NCC ait révélé sur Twitter qu’il avait identifié une « utilisation abusive d’un exploit dans la nature ». Le rapport du NCC était en accord avec l’affirmation de SonicWall concernant la présence des zero days.
La mise à jour publiée lundi par SonicWall a indiqué que la demande du groupe NCC mentionnait également un « zero day critique » dans la série SMA 100. La vulnérabilité est actuellement identifiée par SonicWall sous le nom de SNWLID-2021-0001.
La société a initialement déclaré que ses produits de la série SMA 100 et ses clients VPN NetExtender pourraient avoir été affectés. Cependant, elle a déterminé par la suite que les produits SonicWall AP, les appareils de la série SMA 1000, les pare-feu SonicWall et les clients VPN NetExtender ne sont pas affectés.
L’enquête est toujours en cours
La série SMA 100 fait toujours l’objet d’une enquête pour vérifier si elle a été bien affectée. La société a fait part d’une mise à jour le 29 janvier, indiquant qu’elle n’avait pas confirmé la présence d’une vulnérabilité zero day affectant les produits.
Les détails de la vulnérabilité et de ses exploits ont été rendus publics afin d’empêcher toute nouvelle exploitation du zero day, en attendant qu’un patch pour la mise à jour soit prêt.
« Le firmware SMA 100 avant 10.x n’est pas affecté par cette vulnérabilité zero day », a déclaré Sonicwall.
La semaine dernière, la société a déclaré avoir publié une mise à jour de la vulnérabilité zero day. Elle a ajouté qu’elle avait découvert l’utilisation d’identifiants volés lors de précédents piratages pour accéder aux appareils de la série SMA 100.
SonicWall a refusé de divulguer tout autre détail concernant la vulnérabilité afin de permettre une enquête efficace.
La société de cybersécurité a également recommandé à ses clients d’activer l’authentification à plusieurs facteurs (AMF) et de réinitialiser les mots de passe des utilisateurs, en particulier pour les comptes qui utilisent la série SMA 100 avec le micrologiciel 10.x.
« Si la série SMA 100 (10.x) se trouve derrière un pare-feu, bloquez tous les accès au SMA 100 sur le pare-feu », a souligné SonicWall.
Un lien avec l’attaque de SolarWinds
La société a également déclaré que les utilisateurs peuvent également choisir d’éteindre les appareils de la série SMA 100 jusqu’à ce qu’ils puissent recevoir le patch ou la mise à jour pour l’appareil vulnérable. Ils peuvent également essayer de charger la version 9.x du micrologiciel après avoir redémarré les paramètres par défaut du fabricant.
SonicWall est l’une des entreprises qui ont été touchées par un exploit zero day au cours du mois dernier. En fait, d’autres grandes entreprises ayant une large base de clients ont également été touchées. Il s’agit notamment de Malwarebytes, FireEye, Microsoft et SolarWinds. L’attaque contre SolarWinds semble avoir un lien avec la plupart des entreprises ci-dessus. Beaucoup de ces attaques ont eu lieu après la violation du serveur de SolarWinds.
Crowdstrike a également été attaqué, mais l’entreprise a déclaré que l’attaque n’avait pas réussi. SonicWall n’a pas précisé si les acteurs malveillants faisaient partie d’un groupe de hackers organisé lié au piratage de SolarWinds. Mais la nature sophistiquée de l’attaque a conduit à spéculer sur le fait que les deux sont liés d’une manière ou d’une autre.
