Специалисты FireEye предупредили, что хакеры используют для взлома корпоративных сетей и установки бэкдоров три уязвимости нулевого дня в продуктах SonicWall . Эти атаки были обнаружены в марте 2021.
Проблемы затрагивают SonicWall Email Security (SonicWall ES), решение для защиты электронной почты, которое компании используют в облачном или локальном формате для сканирования почтового трафика. Уязвимостям были присвоены следующие идентификаторы: CVE-2021-20021 (CVSS 9,4, обход аутентификации, создание учетной записи администратора), CVE-2021-20023 (CVSS 6,7, чтение локальных файлов) и CVE-2021-20022 (CVSS 6,7, модификация локальных файлов или загрузка веб-шеллов, использующихся как бэкдор).
FireEye отслеживает упомянутую выше хак-группу под кодовым идентификатором UNC2682. Известно, что злоумышленники использовали три уязвимости в различных комбинациях. Как правило, их атаки были направлены на получение доступа к устройству SonicWall ES, чтобы создать новую учетную запись администратора или похитить пароли существующих пользователей. Также злоумышленники извлекали с устройств SonicWall ES файлы, которые содержали подробную информацию о существующих аккаунтах, включая учетные данные Active Directory.
В конце атакующие загружали вариацию веб-шелла BEHINDER JSP на встроенный веб-сервер Tomcat Java, который затем использовался для выполнения команд в базовой ОС. Это позволяло UNC2682 собрать дополнительные сведения о внутренней сети компании.
«Мы наблюдали, как злоумышленники выполняли команду reg save для дампа из реестра HKLM\SAM, HKLM\SYSTEM и HKLM\SECURITY, которые содержат важную информацию для восстановления парольных хэшей и секретов LSA. Кроме того, злоумышленники собирали конфиденциальные учетные данные из памяти с помощью встроенных техник дампа памяти. В частности было замечено, как злоумышленники вызвали MiniDump-экспорт Windows DLL comsvcs.dll для сброса как памяти процесса для lsass.exe, так и запущенного Apache Tomcat», — говорят исследователи.
Хотя разработчики SonicWall выпустили исправления для уязвимых устройств еще на прошлой неделе, лишь 20 апреля 2021, то есть неделю спустя, компания сообщила, что эти проблемы уже используются хакерами. Из-за этого ИБ-эксперты вновь критикуют SonicWall, заявляя, что компания некорректно реагирует на уязвимости, и не публикует информацию своевременно, чтобы системные администраторы могли расставить приоритеты по установке исправлений.
A week ago. https://t.co/xcrgF2EdOd
— Kevin Beaumont (@GossiTheDog) April 20, 2021
