Il fornitore di sicurezza SonicWall sta indagando su quello che la società definisce un “attacco coordinato” contro la propria rete interna da parte di autori di minacce che utilizzano un exploit zero-day all’interno dei prodotti di accesso remoto dell’azienda.
In una breve dichiarazione inviata ai clienti, SonicWall afferma che sta continuando a indagare sull’incidente e che gli utenti di determinate versioni dei suoi prodotti gateway Secure Mobile Access (SMA) dovrebbero applicare correzioni temporanee fino a quando non sarà disponibile una patch permanente.
E sebbene SonicWall non abbia rilasciato dettagli sull’attacco zero-day e sulla vulnerabilità, la società ha sottolineato che questo incidente di sicurezza sembra ben pianificato.
“Recentemente, SonicWall ha identificato un attacco coordinato ai propri sistemi interni da parte di autori di minacce altamente sofisticati che sfruttano probabili vulnerabilità zero-day su alcuni prodotti di accesso remoto sicuro SonicWall”, secondo la dichiarazione della società rilasciata venerdì.
Sabato, SonicWall ha rilasciato una dichiarazione aggiornata, che descriveva in dettaglio una serie di prodotti non interessati dall’attacco. Ciò include il prodotto di accesso client VPN NetExtender, che l’azienda inizialmente credeva fosse stato preso di mira nell’attacco iniziale.
“Anche se in precedenza avevamo comunicato che NetExtender 10.X avrebbe potenzialmente un giorno zero, ora è stato escluso. Può essere utilizzato con tutti i prodotti SonicWall. Non è richiesta alcuna azione da parte di clienti o partner”, secondo l’azienda.
Quali prodotti sono interessati?
A partire da sabato, SonicWall ha affermato che la società sta ancora indagando su potenziali vulnerabilità in diverse versioni del suo prodotto Secure Mobile Access gateway versione 10.x, che gira su dispositivi fisici SMA 200, SMA 210, SMA 400, SMA 410 e SMA Appliance virtuale 500v.
L’azienda osserva che i suoi prodotti della serie SMA 100 sono dispositivi fisici utilizzati per fornire ai dipendenti e ad altri utenti l’accesso remoto alle risorse interne. I prodotti di accesso remoto dell’azienda sono venduti sia alle piccole imprese che alle grandi imprese.
Per ora, SonicWall esorta i suoi clienti a utilizzare un firewall per consentire solo le connessioni Secure Socket Layer-VPN all’appliance SMA da indirizzi IP noti o autorizzati. I clienti possono anche configurare l’accesso alla whitelist sul gateway SMA stesso, in base all’aggiornamento.
SonicWall esorta inoltre i propri clienti a utilizzare l’autenticazione a più fattori con tutti i suoi prodotti.
Infine, SonicWall suggerisce che gli amministratori della serie SMA 100 creino regole di accesso specifiche o disabilitino il portale Web Virtual Office e l’accesso amministrativo HTTPS da Internet mentre l’azienda continua a indagare sulla vulnerabilità.
Mentre SonicWall sta ancora indagando sull’exploit della vulnerabilità zero-day nei suoi prodotti gateway della serie SMA 100, la società ora ritiene che gli attacchi non stiano interessando l’intera linea di prodotti firewall o l’offerta di gateway della serie SMA 1000, che è una linea separata di prodotti gateway.
Altri incidenti
Anche altri fornitori di sicurezza hanno messo in guardia sui recenti problemi di sicurezza che interessano i loro prodotti o le reti interne.
All’inizio di questo mese, i ricercatori hanno avvertito che gli aggressori sembrano aver iniziato la scansione per prodotti Zyxel vulnerabili, inclusi gateway VPN, controller di punti di accesso e firewall. Una vulnerabilità nel firmware dell’azienda, che è stata rivelata per la prima volta a dicembre dai ricercatori, può essere sfruttata per installare una backdoor hard-coded che potrebbe fornire agli autori delle minacce privilegi di amministrazione remota. Questo particolare difetto potrebbe interessare circa 100.000 prodotti dell’azienda.
Martedì, il CEO di Malwarebytes ha riconosciuto che gli hacker che hanno attaccato SolarWinds hanno preso di mira anche la sua azienda e hanno ottenuto l’accesso a un “sottoinsieme limitato di e-mail aziendali interne”. Malwarebytes è ora la terza società di sicurezza, insieme a FireEye e Microsoft, nota per essere colpita dall’attacco alla catena di approvvigionamento (vedi: CEO di Malwarebytes: azienda mirata dagli hacker SolarWinds).
Al momento non ci sono indicazioni che l’attacco zero-day che colpisce i prodotti SonicWall sia correlato all’incidente di hacking di SolarWinds. Gli attacchi zero-day, tuttavia, vengono sempre più acquistati da gruppi di hacker di stati-nazione per lanciare attacchi multipli, secondo un rapporto dell’aprile 2020.