В конце января 2021 года стало известно, компания SonicWall пострадала в ходе «скоординированной хакерской атаки», использовавшей некую уязвимость в собственных продуктах компании. Вскоре после этого эксперты сообщили, что загадочная уязвимость нулевого дня в сетевых устройствах SonicWall уже находится под «беспорядочным» атаками. При этом аналитики были убеждены, что обнаружили ту самую 0-day уязвимость, при помощи которой взломали саму SonicWall.
На этой неделе компания наконец представила обновление прошивки (10.2.0.5-29sv) для устройств серии SMA 100, которые находились под атаками. Разработчики подчеркивают, что все пользователи аппаратных решений SMA 200, SMA 210, SMA 400, SMA 410 и виртуальных SMA 500v (Azure, AWS, ESXi, HyperV) должны установить это обновление незамедлительно.
Согласно бюллетеню безопасности, патч устраняет проблемы, позволяющие злоумышленникам получить учетные данные администратора и удаленно выполнить произвольный код на устройствах.
Хотя представители SonicWall по-прежнему не раскрывают почти никаких деталей уязвимости, свет на происходящее пролили эксперты компании NCC Group, ранее обнаружившие атаки на эту уязвимость. Так, в Twitter Олли Уайтхаус и Рич Уоррен (Ollie Whitehouse и Rich Warren) дают советы по обнаружению «обхода аутентификации» на устройстве.
«Трудно объяснить, что именно нужно искать, не слишком все упрощая, как мы видели на примерах F5 и Citrix. В настоящее стоит рассматривать неожиданный доступ к интерфейсу управления как верный показатель компрометации», — писал Уайтхаус.
It is hard to detail what to look for without making it too easy as we saw with F5 and Citrix. Looking for unexpected management interface access is the indicator at the moment. If you have a way let happy to learn.
— Ollie Whitehouse (@ollieatnccgroup) January 31, 2021
Рич Уоррен, в свою очередь, пошел даже дальше и перечислил определенные пути, которые могут указывать на успешный обход авторизации в логах SonicWall. По его словам, о компрометации могут свидетельствовать запросы /cgi-bin/management, если их не предваряли успешные запросы к /__api__/v1/logon ил /__api__/v1/logon//authenticate.
Чтобы проверить обход на уровне пользователя через VPN-клиент или интернет, следует искать в логах доступа записи о /cgi-bin/sslvpnclient и /cgi-bin/portal. Если пользователь получил доступ к этим путям без предварительного доступа путям, перечисленным далее, это указывает на обход авторизации. Через VPN-клиент: /cgi-bin/userLogin. Через веб: /__api__/v1/logon (200) и /__api__/v1/logon//authenticate.
То есть приведенные исследователями данные указывают на то, что уязвимость позволяет удаленным атакующим получить доступ к внутренней сети или интерфейсу управления без предварительной аутентификации.
