В конце января 2021 года стало известно, компания SonicWall пострадала в ходе «скоординированной хакерской атаки», использовавшей некую уязвимость в собственных продуктах компании. Вскоре после этого эксперты сообщили, что загадочная уязвимость нулевого дня в сетевых устройствах SonicWall уже находится под «беспорядочным» атаками. При этом аналитики были убеждены, что обнаружили ту самую 0-day уязвимость, при помощи которой взломали саму SonicWall.

На этой неделе компания наконец представила обновление прошивки (10.2.0.5-29sv) для устройств серии SMA 100, которые находились под атаками. Разработчики подчеркивают, что все пользователи  аппаратных решений SMA 200, SMA 210, SMA 400, SMA 410 и виртуальных SMA 500v (Azure, AWS, ESXi, HyperV) должны установить это обновление незамедлительно.

Согласно бюллетеню безопасности, патч устраняет проблемы, позволяющие злоумышленникам получить учетные данные администратора и удаленно выполнить произвольный код на устройствах.

Хотя представители SonicWall по-прежнему не раскрывают почти никаких деталей уязвимости, свет на происходящее пролили эксперты компании NCC Group, ранее обнаружившие атаки на эту уязвимость. Так, в Twitter Олли Уайтхаус и Рич Уоррен (Ollie Whitehouse и Rich Warren) дают советы по обнаружению «обхода аутентификации» на устройстве.

«Трудно объяснить, что именно нужно искать, не слишком все упрощая, как мы видели на примерах F5 и Citrix. В настоящее стоит рассматривать неожиданный доступ к интерфейсу управления как верный показатель компрометации», — писал Уайтхаус.

Рич Уоррен, в свою очередь, пошел даже дальше и перечислил определенные пути, которые могут указывать на успешный обход авторизации в логах SonicWall. По его словам, о компрометации могут свидетельствовать запросы /cgi-bin/management, если их не предваряли успешные запросы к /__api__/v1/logon ил /__api__/v1/logon//authenticate.

Чтобы проверить обход на уровне пользователя через VPN-клиент или интернет, следует искать в логах доступа записи о /cgi-bin/sslvpnclient и /cgi-bin/portal. Если пользователь получил доступ к этим путям без предварительного доступа путям, перечисленным далее, это указывает на обход авторизации. Через VPN-клиент: /cgi-bin/userLogin. Через веб: /__api__/v1/logon (200) и /__api__/v1/logon//authenticate.

То есть приведенные исследователями данные указывают на то, что уязвимость позволяет удаленным атакующим получить доступ к внутренней сети или интерфейсу управления без предварительной аутентификации.

Оставить мнение