Impatto Sistemico

Medio (64.1)

Sintesi

È stato recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2021-20035 che interessa i dispositivi SonicWall della serie SMA 100. Tale vulnearbilità risulterebbe sfruttata nell’ambito di una campagna mirata all’accesso abusivo tramite credenziali VPN su dispositivi della serie SMA di SonicWall.

Tipologia

• Arbitrary Code Execution

Descrizione e potenziali impatti

Ricercatori di sicurezza hanno recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2021-20035 che interessa i dispositivi SonicWall, sfruttata nell’ambito di una campagna mirata all’accesso abusivo tramite credenziali VPN compromesse su dispositivi della serie SMA 100.

Malgrado la tipologia di vulnerabilità fosse stata inizialmente descritta nel 2021 dal vendor come un potenziale Denial-of-Service (DoS), SonicWall ha recentemente aggiornato il proprio advisory modificando tale dettaglio in Remote Code Execution (RCE).

Il vendor segnala che la vulnerabilità può essere sfruttata esclusivamente da utenti locali autenticati: altresì, sono state recentemente analizzate campagne nelle quali utenti malintenzionati hanno sfruttato vulnerabilità note presenti in sistemi perimetrali non aggiornati e/o utilizzato tecniche di attacco quali password stuffing e bruteforce per ottenere credenziali di accesso valide. Qualora ottenuto l’accesso, un attaccante potrebbe quindi abusare della vulnerabilità in oggetto per stabilire la persistenza sul sistema e ampliare la portata del proprio attacco.

In tal senso i ricercatori hanno identificato l’utilizzo dell’account superadmin “admin@LocalDomain” : nel dettaglio è stato evidenziato come tale account venga generato in automatico durante le prime fasi di installazione del sistema, con password predefinita “password”.

Si evidenzia che il rischio di compromissione rimane elevato in presenza di credenziali predefinite non modificate o di password deboli, nonostante l’aggiornamento dei dispositivi SonicWall SMA risolva la vulnerabilità CVE-2021-20035.

Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.

Prodotti e/o versioni affette

Sonicwall Serie SMA 100, piattaforme:

• SMA 200 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
• SMA 210 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
• SMA 400 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
• SMA 410 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
• SMA 500v (ESX, KVM, AWS, Azure) versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si raccomandano le seguenti azioni di mitigazione:

• modificare le password predefinite degli account locali sui firewall SonicWall SMA, adottando passphrase robuste;
• mantenere i dispositivi costantemente aggiornati;
• abilitare l’autenticazione multi-fattore (MFA) per tutti gli account utente;
• limitare l’accesso VPN solo agli account strettamente necessari;
• non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete Internet;
• eseguire una revisione periodica degli account configurati e disabilitare quelli non più in uso;
• attivare un sistema di monitoraggio dei log per rilevare attività sospette su tutti i dispositivi firewall.