Ataki na urządzenia SonicWall – czy Twój podmiot jest bezpieczny? | Centrum e-Zdrowia

Infolinia CeZ 24h/7   19 239

Tłumacz PJM

Unia Europejska Flaga Unii Europejskiej

pomarańczowy napis attack

Ataki na urządzenia SonicWall – czy Twój podmiot jest bezpieczny?

CSIRT CeZ ostrzega przed aktywną kampanią cyberataków. Jest ona związana z incydentem obejmującym rozwiązania firmy SonicWall oraz odnotowanymi próbami kompromitacji środowisk korzystających z funkcji SSL VPN. 

Charakterystyka podatności

  • oznaczenie: CVE-2024-53704
  • score CVSS: 9.8 (critical)

Wykryta podatność dotyczy komponentu SSL VPN w systemie SonicOS i umożliwia obejście mechanizmu uwierzytelniania. To zaś może prowadzić do nieuprawnionego dostępu do zasobów organizacji. Pomimo tego, iż podatność została wykryta już w 2024 roku, wciąż otrzymujemy sygnały, że jest aktywnie wykorzystywana.

Na czym polegają ataki?

SonicWall zakończył dochodzenie prowadzone we współpracy z firmą Mandiant. Potwierdzili, że nieuprawniona strona uzyskała dostęp do plików kopii zapasowych konfiguracji zapór sieciowych klientów korzystających z usługi Cloud Backup.

Atakujący wykorzystali metodę brute force na portalu MySonicWall.com i uzyskali dostęp do plików .EXP, zawierających m.in. dane konfiguracyjne i zaszyfrowane poświadczenia.

Równolegle zaobserwowano wzrost ataków na urządzenia SonicWall SSL VPN/Firewall, w których wykorzystywane są ważne poświadczenia. Ponieważ nie były to ataki typu brute force można wnioskować, że dane z incydentu mogły zostać użyte do uzyskania dostępu.

W ramach tej kampanii odnotowano m.in.:

  • masowe próby logowania do SSL VPN z adresów IP, np. 202.155.8[.]73
  • skanowanie sieci i eskalacja uprawnień po uzyskaniu dostępu z wykorzystaniem technik takich jak UnPAC the hash
  • wykorzystanie podatności CVE-2024-53704, umożliwiającej przejęcie sesji użytkownika.

Zalecenia CSIRT CeZ

W związku z powyższym rekomendujemy:

  • zaloguj się portalu MySonicWall i w sekcji Product Management > Issue List i sprawdź, czy urządzenia są oznaczone jako dotknięte incydentem (zwłaszcza te sklasyfikowane jako "Active – High Priority"- z włączonymi usługami wychodzącymi na internet)
  • użyj narzędzia SonicWall Online Tool w celu uzyskania spersonalizowanego planu remediacyjnego
  • bezwzględnie zmień hasła wszystkich użytkowników lokalnych (Local Users)
  • zresetuj rejestrację wszystkich użytkowników w usłudze MFA/TOTP
  • zaktualizuj poświadczenia dla kont Bind używanych do integracji z serwerami katalogowymi (LDAP/RADIUS/TACACS+)
  • zaktualizuj firmware wszystkich urządzeń SonicWall, aby załatać omawianą podatność, która umożliwia obejście uwierzytelniania
  • jeśli natychmiastowa aktualizacja nie jest możliwa, należy tymczasowo wyłączyć usługę SSL VPN
  • rozważ wyłączenie zarządzania urządzeniem przez interfejs WAN (WAN Management)
  • zweryfikuj, czy w ostatnich 3 miesiącach urządzenia łączyły się z adresem IP 202.155.8[.]73
  • zablokuj na urządzeniach brzegowych na okres 3 miesięcy możliwość połączenia z adresem IP 202.155.8[.]73
  • monitoruj logi Active Directory pod kątem anomalii i nietypowych żądań Kerberos (UnPAC the hash)
  • dla urządzeń Gen 6 (ze względu na podatne szyfrowanie 3DES), zalecamy migrację do Gen 7.

Jednocześnie zachęcamy do zapoznania się z naszymi zaleceniami dotyczącymi połączeń zdalnych oraz wykorzystanie ich w codziennej pracy.

W przypadku dodatkowych pytań lub potrzeby wsparcia, pozostajemy do Państwa dyspozycji pod adresem: info [at] csirt.cez.gov.pl (info[at]csirt[dot]cez[dot]gov[dot]pl)