3 Zero-Day Exploits treffen SonicWall Enterprise Email Security Appliances

Cyber Security News

SonicWall hat drei kritische Sicherheitslücken in seinen gehosteten und vor Ort installierten E-Mail-Sicherheitsprodukten (ES) geschlossen, die aktiv ausgenutzt werden.

Die Schwachstellen mit den Bezeichnungen CVE-2021-20021 und CVE-2021-20022 wurden von der FireEye-Tochter Mandiant am 26. März 2021 entdeckt und dem Unternehmen gemeldet, nachdem die Cybersecurity-Firma Web-Shell-Aktivitäten nach der Ausnutzung auf einem über das Internet zugänglichen System in der Umgebung eines Kunden entdeckt hatte, auf dem die Email Security (ES)-Anwendung von SonicWall auf einer Windows Server 2012-Installation lief. Eine dritte Schwachstelle (CVE-2021-20023), die von FireEye identifiziert wurde, wurde SonicWall am 6. April 2021 offengelegt.

FireEye verfolgt die bösartige Aktivität unter dem Namen UNC2682.

[Blocked Image: https://thehackernews.com/images/-VPdopHKQm-E/YHc_0fLCVlI/AAAAAAAA3w0/c2kzWXa0ALMLtjaAeSkI0cc7-FjPV3IswCLcBGAsYHQ/s728-e100/thn-728-4.png]

“Diese Schwachstellen wurden zusammen ausgeführt, um administrativen Zugriff und Codeausführung auf einem SonicWall ES-Gerät zu erhalten”, so die Forscher Josh Fleischer, Chris DiGiamo und Alex Pennino.

Der Angreifer nutzte diese Schwachstellen mit intimer Kenntnis der SonicWall-Anwendung aus, um eine Backdoor zu installieren, auf Dateien und E-Mails zuzugreifen und sich seitlich in das Netzwerk des Opfers zu bewegen.”

Im Folgenden finden Sie eine kurze Zusammenfassung der drei Schwachstellen CVE-2021-20021 (CVSS-Score: 9.4) – Ermöglicht es einem Angreifer, ein administratives Konto zu erstellen, indem er eine manipulierte HTTP-Anfrage an den Remote-Host sendet CVE-2021-20022 (CVSS-Punktzahl: 6.7) – Ermöglicht einem Angreifer nach der Authentifizierung, eine beliebige Datei auf den entfernten Host hochzuladen und CVE-2021-20023 (CVSS-Score: 6.7) – Ein Directory-Traversal-Fehler, der es einem post-authentifizierten Angreifer erlaubt, eine beliebige Datei auf dem entfernten Rechner zu lesen.

Der administrative Zugriff ermöglichte es dem Angreifer nicht nur, CVE-2021-20023 auszunutzen, um Konfigurationsdateien zu lesen, darunter solche, die Informationen über bestehende Konten sowie Active Directory-Anmeldeinformationen enthalten, sondern auch CVE-2021-20022 zu missbrauchen, um ein ZIP-Archiv hochzuladen, das eine JSP-basierte Web-Shell namens BEHINDER enthält, die in der Lage ist, verschlüsselte Command-and-Control-Kommunikation (C2) anzunehmen.

[Blocked Image: https://thehackernews.com/images/-J2_tCNGDMKA/YHc_zdc4MhI/AAAAAAAA3wo/gfFnHKGV_gcrTkZ3sOMoDg5N-wg_cKOGQCLcBGAsYHQ/s300-e100/thn-300-4.png]

“Mit der Hinzufügung einer Web-Shell auf dem Server hatte der Angreifer uneingeschränkten Zugriff auf die Eingabeaufforderung mit den geerbten Rechten des NT-AUTHORITYSYSTEM-Kontos”, so FireEye, und fügte hinzu, dass der Angreifer dann “living off the land”-Techniken (LotL) verwendete, um Anmeldeinformationen zu sammeln, sich seitlich im Netzwerk zu bewegen und sogar “ein Unterverzeichnis zu komprimieren [that] mit täglichen Archiven von E-Mails, die von SonicWall ES verarbeitet wurden.”

[Blocked Image: https://thehackernews.com/images/-aaLAAYAZ5Ug/YH-xu4ZMtGI/AAAAAAAACUY/BO9BcPPCmZwGYxxIvB56KxjxROL5h847QCLcBGAsYHQ/s0/hack.jpg]

In dem von der Firma beobachteten Vorfall soll der Bedrohungsakteur seinen Angriff eskaliert haben, indem er eine interne Aufklärungsaktivität durchführte, wenn auch nur kurz, bevor er isoliert und aus der Umgebung entfernt wurde, wodurch seine Mission vereitelt wurde. Das wahre Motiv hinter dem Eindringen bleibt unklar.

SonicWall-Benutzern wird empfohlen, auf den Hotfix 10.0.9.6173 für Windows und den Hotfix 10.0.9.6177 für Hardware und virtuelle ESXi-Appliances zu aktualisieren. Das SonicWall Hosted Email Security-Produkt wurde am 19. April automatisch gepatcht, so dass keine weiteren Maßnahmen zum Patchen erforderlich sind.

Haben Sie diesen Artikel interessant gefunden? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

Einige Teile dieses Artikels stammen aus:
thehackernews.com