Impatto Sistemico

Critico (84.35)

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato attività anomale relative a una possibile vulnerabilità di tipo zero-day nel servizio SSLVPN di alcuni modelli di firewall SonicWall Gen 7. Tale vulnerabilità consentirebbe a utenti malintenzionati di eludere i meccanismi di autenticazione anche qualora siano abilitate soluzioni multi-fattore (MFA) sui sistemi target.

Nei casi in esame, ove ottenuto l’accesso iniziale, sembrerebbe che gli attaccanti siano stati in grado di effettuare:

• creazione e abuso di account : sfruttamento di account LDAP o di servizio con privilegi elevati (es. sonicwall, LDAPAdmin);
• ottenere persistenza : instanziare tunnel Cloudflared e OpenSSH;
• effettuare movimenti laterali : utilizzo di comandi WMI e PowerShell Remoting per propagarsi all’interno della rete;
• furto di credenziali : estrazione e decodifica di credenziali da soluzioni software di Backup eventualmente installate e dump di credenziali da Active Directory;
• disabilitazione di strumenti di sicurezza : arresto di Microsoft Defender e soluzioni Firewall tramite strumenti integrati di Windows;
• distribuzione ransomware : eliminazione delle Shadow Copies e distribuzione del ransomware Akira.

Stando agli ultimi aggiornamenti forniti dal vendor le suddette attività, recentemente rilevate, non sembrerebbero riconducibili ad una nuova vulnerabilità, ma a migrazioni effettuate da dispositivi Gen 5 o Gen 6 verso Gen 7, durante le quali le credenziali degli account locali sono state trasferite senza il consueto e conseguente aggiornamento delle password. La mancata revisione di tali credenziali post-migrazione, fase già esplicitamente indicata come fondamentale nell’apposito advisory SNWLID-2024-0015 , avrebbe comportato il mantenimento di account vulnerabili a tentativi di accesso non autorizzato.

Tipologia

• Authentication Bypass
• Denial of Service

Prodotti e/o versioni affette

SonicWall Firewall Gen 7.x, versione firmware 7.2.0-7015 e precedenti:

• Serie TZ: TZ270, TZ370, TZ470, TZ570, TZ670
• Serie NSa: NSa 2700, NSa 3700, NSa 4700, NSa 5700, NSa 6700
• Serie NSv virtuali: NSv 270, NSv 470, NSv 870

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomanda di aggiornare tempestivamente i dispositivi vulnerabili alla versione 7.3.0 di SonicOS seguendo l’apposita guida disponibile al link nella sezione Riferimenti, che implementa meccanismi di protezione aggiuntivi volti a prevenire attacchi di tipo brute-force e al MFA.

SonicWall raccomanda che tutti gli utenti che abbiano effettuato o stiano effettuando una migrazione da dispositivi Gen 5 o Gen 6, in particolare se utilizzano account locali per l’accesso SSLVPN, provvedano a modificare immediatamente le password degli account interessati. Inoltre, viene indicata come necessaria l’attivazione dell’opzione che obbliga gli utenti al cambio della password al primo accesso successivo al reset. A supporto della suddetta attività, è disponibile uno script di automazione sul repository GitHub ufficiale di SonicWall , che consente la modifica in maniera massiva delle credenziali, per agevolare l’operazione.

Alla luce di queste nuove evidenze, si raccomanda di verificare la presenza di eventuali configurazioni ereditate da precedenti installazioni e di adottare tempestivamente misure di mitigazione proposte dal vendor, come segue:

• disattivare il servizio SSLVPN, ove possibile;
• limitare l’accesso SSLVPN ai soli IP fidati;
• abilitare servizi di sicurezza quali Botnet Protection e Geo-IP Filtering;
• attivare l’autenticazione multi-fattore (MFA) per le connessioni remote;
• rimuovere account locali non utilizzati, specialmente con accesso SSLVPN;
• mantenere le buone pratiche di utilizzo password, includendo la necessità di cambi periodici;
• monitorare costantemente il portale del vendor per eventuali nuovi sviluppi.