Hakeri su počeli da iskorištavaju nedavnu ranjivost SonicWall ove sedmice, ubrzo nakon što je kod za dokaz koncepta (PoC) koji je ciljao ovu ranjivost objavljen, izvještava firma za sajber bezbjednost Arctic Wolf.
Greška, praćena kao CVE-2024-53704, je zaobilaženje autentifikacije visoke ozbiljnosti uzrokovano problemom u SSLVPN mehanizmu provjere autentičnosti SonicOS-a.
SonicWall je početkom januara objavio da su zakrpe za ovu grešku i još jedan problem zaobilaženja autentifikacije, praćen kao CVE-2024-40762, uključene u SonicOS verzije 7.1.3-7015 i 8.0.0-8037, rekavši da nema dokaza da je bilo koji od njih iskorištavan u napadima.
Prema Arctic Wolfu, maliciozna aktivnost usmjerena na CVE-2024-53704 počela je ove sedmice, ubrzo nakon što je Bishop Fox objavio tehničke detalje i PoC eksploataciju za nju.
„Ubrzo nakon što je PoC objavljen u javnosti, Arctic Wolf je počeo da posmatra pokušaje eksploatacije ove ranjivosti u okruženju prijetnji“, napominje firma za sajber bezbjednost .
Arctic Wolf objašnjava da javni PoC omogućava neautorizovanim napadačima da zaobiđu zaštitu višefaktorske autentifikacije (MFA), pristupe privatnim informacijama i prekinu VPN sesije.
“Istorijski gledano, hakeri su koristili ranjivosti zaobilaženja autentifikacije na firewall-u i VPN gateway-ima kako bi implementirali ransomware. Krajem 2024. godine, Arctic Wolf je primijetio da filijale Akira ransomware ciljaju SSL VPN korisničke račune na SonicWall uređajima kao početni pristupni vektor”, napominje ova bezbjednosna firma.
Prema Bishop Foxu, otprilike 4.500 SonicWall SSL VPN servera okrenutih prema Internetu nije zakrpljeno protiv CVE-2024-53704 do 7. februara.
Organizacijama se savjetuje da ažuriraju svoje uređaje što je prije moguće ili da primjene ublažavanja opisana u SonicWall-ovom savjetovanju, koje je ažurirano kako bi se upozorilo na javnu PoC.
“PoC-ovi za ranjivost SonicOS SSLVPN zaobilaženja autentifikacije (CVE-2024-53704) su sada javno dostupni. Ovo značajno povećava rizik od eksploatacije. Korisnici moraju odmah ažurirati sve nezakrpljene zaštitne zidove (7.1.x i 8.0.0). Ako primjena ažuriranja firmvera nije moguća, onemogućite SSLVPN”, napominje SonicWall.
Izvor: SecurityWeek
