Atacantes agora estão mirando uma vulnerabilidade de bypass de autenticação afetando firewalls da SonicWall logo após a liberação de código de exploit de conceito-prova (PoC).
Essa falha de segurança (
CVE-2024-53704
), classificada pela CISA como de gravidade crítica e encontrada no mecanismo de autenticação SSLVPN, impacta as versões do SonicOS 7.1.x (até 7.1.1-7058), 7.1.2-7019 e 8.0.0-8035, usadas por múltiplos modelos de firewalls Gen 6 e Gen 7 e dispositivos da série SOHO.
A exploração bem-sucedida permite que atacantes remotos sequestrem sessões ativas de SSL VPN sem autenticação, o que lhes concede acesso não autorizado às redes dos alvos.
A SonicWall instou os clientes a atualizarem imediatamente o firmware do SonicOS de seus firewalls para prevenir a exploração em um email enviado antes da divulgação pública da vulnerabilidade e da liberação de atualizações de segurança em 7 de janeiro.
A empresa também compartilhou medidas de mitigação para administradores que não puderam imediatamente proteger seus dispositivos, incluindo limitar o acesso a fontes confiáveis e restringir o acesso da Internet completamente se não necessário.
A empresa de cibersegurança Arctic Wolf disse que começou a detectar tentativas de exploração mirando essa vulnerabilidade em ataques "logo após o PoC ter sido tornado público", confirmando os temores da SonicWall quanto ao potencial aumentado de exploração da vulnerabilidade.
"O exploit PoC liberado permite que um ator de ameaça não autenticado realize bypass de MFA, divulgue informações privadas, e interrompa sessões VPN em execução," afirmou a Arctic Wolf.
Dada a facilidade de exploração e a inteligência de ameaças disponível, a Arctic Wolf recomenda fortemente a atualização para um firmware fixo para endereçar essa vulnerabilidade.
Pesquisadores de segurança da Bishop Fox publicaram um exploit PoC em 10 de fevereiro, aproximadamente um mês após os patches serem liberados.
A Bishop Fox adicionou que aproximadamente 4.500 servidores de SSL VPN da SonicWall não atualizados estavam expostos online segundo varreduras da internet em 7 de fevereiro.
"Provas de conceito (PoCs) para a Vulnerabilidade de Bypass de Autenticação SSLVPN do SonicOS (
CVE-2024-53704
) estão agora disponíveis publicamente", a SonicWall alertou após a liberação do código de exploit.
Isto aumenta significativamente o risco de exploração.
Os clientes devem imediatamente atualizar todos os firewalls não atualizados (7.1.x & 8.0.0).
Se aplicar a atualização do firmware não for possível, desative o SSLVPN.
No passado, afiliados dos ransomwares Akira e Fog também visaram firewalls da SonicWall.
A Arctic Wolf alertou em outubro que pelo menos 30 intrusões começaram com acesso remoto à rede através de contas VPN da SonicWall.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...