Jemand benutzt das E-Mail-Sicherheitstool von SonicWall, um Kunden zu hacken

Cyber Security News

SonicWall hat drei Zero-Day-Schwachstellen in seiner E-Mail-Sicherheitslösung bekannt gegeben. (SonicWall)

Die E-Mail-Sicherheitslösung von SonicWall soll Kunden vor Phishing-Angriffen, Kompromittierung von Geschäfts-E-Mails, Ransomware und anderen E-Mail-bezogenen Bedrohungen schützen. Es scheint jedoch, dass einige Angreifer bisher unbekannte Cybersicherheitsschwachstellen in eben diesem Produkt genutzt haben, um in die Netzwerke der Opfer einzudringen.

Gestern gab das Unternehmen drei Zero-Day-Schwachstellen in SonicWall Email Security bekannt. Dazu gehören ein schädlicher Fehler, der es einem nicht autorisierten Benutzer ermöglicht, administrative Konten in einem Netzwerk zu erstellen (CVE-2021-20021) und zwei weitere, die es einem bereits authentifizierten Angreifer ermöglichen, Dateien auf dem Remote-Host des Opfers zu lesen (CVE-2021-20023) und hochzuladen (CVE-2021-20022). Zusammen können sie verwendet werden, um auf die E-Mails eines Opfers zuzugreifen und diese zu lesen, Malware zu platzieren und andere Aktivitäten nach der Kompromittierung durchzuführen.

Laut SonicWall wurden die Schwachstellen während der “standardmäßigen Zusammenarbeit und Tests” entdeckt, und es gibt Hinweise darauf, dass mindestens eine dieser Schwachstellen von Angreifern aktiv ausgenutzt wird. Ein am selben Tag veröffentlichter Bericht von Madiant behauptet, dass sie SonicWall erstmals am 26. März über diese Schwachstellen informiert haben. Für alle drei Schwachstellen gibt es inzwischen Patches.

“In mindestens einem bekannten Fall wurde beobachtet, dass diese Schwachstellen ‘in the wild’ ausgenutzt werden”, so das Unternehmen am 20. April. “Unternehmen, die Hardware-Appliances von SonicWall Email Security, virtuelle Appliances oder Software-Installationen auf Microsoft Windows Server einsetzen, sollten unbedingt sofort ein Upgrade auf die gepatchten Versionen durchführen”.

Laut einem Bericht des Mandiant-Teams von FireEye, das bei der Identifizierung der Schwachstellen geholfen hat, nutzte ein ungenannter Bedrohungsakteur diese Zero-Days zusammen mit “intimer Kenntnis” des SonicWall-Anwendungscodes im März, um eine Backdoor in das Netzwerk eines Opfers einzuschleusen, Zugriff auf E-Mails und Dateien zu erhalten und von dort aus in andere Teile des Netzwerks vorzudringen. Die Threat Intelligence-Firma fand Web-Shells auf einer vollständig gepatchten, mit dem Internet verbundenen Version der E-Mail-Sicherheitslösung, die auf Aktivitäten nach dem Angriff hindeuteten, einschließlich Bemühungen, Log-Einträge auf Anwendungsebene zu löschen.

“Während das Löschen von Protokolldateien eine Standard-Anti-Forensik-Technik ist, wird das Verständnis für den Speicherort interner Protokolldateien, die von Anwendungen erzeugt werden, von den meisten Spray-and-Pray-Angreifern übersehen. Dies verstärkte unseren Verdacht, dass wir es mit einem Angreifer zu tun hatten, der genau wusste, wie die SonicWall ES-Anwendung funktionierte”, schreiben die FireEye-Forscher Josh Fleischer, Chris DiGamo und Alex Penino.

Die Mandiant-Forscher merkten an, dass einige der Schwachstellen – wie die Möglichkeit, ZIP-Archive, die normalerweise für Fotos, Logos und andere Branding-Bilder verwendet werden, hochzuladen, um Web-Shells und anderen bösartigen Code hochzuladen – nicht nur bei SonicWall oder seinen Produkten auftreten. Vielmehr stammen sie höchstwahrscheinlich aus Code-Bits und -Teilen, die in Open-Source-Bibliotheken oder -Repositories gehostet werden, die in vielen verschiedenen Produkten verwendet und wiederverwendet werden – ein Problem, das die Softwarebranche im Allgemeinen plagt.

Der Einbruchsversuch im März, den Madiant nach eigenen Angaben stoppen konnte, bevor die Angriffe erfolgreich waren, wurde wahrscheinlich von einer Gruppe durchgeführt, die sie UNC2682 nennen. UNCs sind die Abkürzung für “Uncategorized Groups”, also die Bezeichnung, die FireEye für beobachtete Cluster von Hacking-Aktivitäten vergibt, die möglicherweise (oder möglicherweise auch nicht) miteinander in Verbindung stehen. Wenn sich die Beweise für die Zuordnung und die Verbindungen erhärten, werden UNC-Gruppen manchmal später zu vollwertigen APT- oder FIN-Gruppen “abgestuft”. Mandiant gibt nicht viele Details darüber an, wer hinter UNC2682 steckt, und da der Angriff vereitelt wurde, konnten sie nicht erkennen, was die Endziele der Gruppe gewesen sein könnten, ob Profit, Spionage oder andere Gründe.

Der Bericht enthält außerdem Indikatoren für eine Kompromittierung, Tipps zur Überwachung der Telemetrie und weitere Hinweise für Kunden, die die E-Mail-Lösung von SonicWall verwenden.

Es ist das zweite Mal in diesem Jahr, dass SonicWall von einem Angriff betroffen ist, der bisher unbekannte Schwachstellen in seinen Sicherheitsprodukten ausnutzt. Im Januar gab das Unternehmen bekannt, dass böswillige Hacker eine Zero-Day-Schwachstelle für seinen Secure Mobile Access VPN-Client ausgenutzt hatten, nachdem SC Media das Unternehmen aufgrund eines anonymen Hinweises kontaktiert hatte. Im September 2020 wurde das Unternehmen von Sicherheitsforschern dafür kritisiert, dass es mehr als zwei Wochen brauchte, um eine gemeldete Firewall- und VPN-Zugangsschwachstelle zu beheben, von der 500.000 Organisationen und 1,9 Millionen SonicWall-Benutzergruppen betroffen waren.

Einige Teile dieses Artikels stammen aus:
www.scmagazine.com