Еще в апреле текущего года специалисты компании Mandiant отмечали, что хакеры все чаще используют устройства SonicWall для проникновения в корпоративные сети и развертывания программ-вымогателей. Теперь исследователи CrowdStrike пришли точно к таким же выводам.
Подобные атаки начались еще в 2019-2020 годах и обычно затрагивали сетевое оборудование корпоративного уровня от Citrix, F5, Pulse Secure, Fortinet и Palo Alto Networks. Дело в том, что корпоративные VPN и сетевые шлюзы оказались удобной точкой проникновения в корпоративные сети для операторов шифровальщиков.
Однако продукты перечисленных выше производителей быстро получали обновления, и злоумышленникам приходилось искать новые векторы для своих атак. Одним из подходящих вариантов оказались девайсы SonicWall, а именно уязвимость в SonicWall SRA VPN с использованием эксплоита 2019 года (CVE-2019-7481), а также сетевые шлюзы SonicWall SMA, где хакеры эксплуатируют ошибку, исправленную в феврале текущего года (CVE-2021-20016).
По данным Mandiant, полезными нагрузками в таких атаках обычно оказывались вымогатели, в том числе HelloKitty, FiveHands и DarkSide.
В свою очередь, исследователи Crowdstrike пишут, что они наблюдали успешные атаки с использованием ошибки 2019 года даже на устройствах с уже исправленной прошивкой версии 9.0.0.5. То есть, злоумышленники, похоже, нашли способ обойти патчи, выпущенные SonicWall два года назад.
Эксперты успокаивают, что владельцы SonicWall SRA VPN могут использовать прошивку версий 10.x, которые совместимы со старыми устройствами. Эти патчи SonicWall выпустила в феврале текущего года, после того, как уязвимость CVE-2021-20016 была использована для атаки против самой компании.
В CrowdStrike в очередной раз призвали компании своевременно устанавливать патчи или, по крайней мере, использовать двухфакторную аутентификацию в системах SonicWall. Оптимальным вариантом защиты исследователи вообще считают замену старого оборудования SRA VPN на новые устройства, которые поддерживаются и получают патчи на более регулярной основе.