Actualités

SonicWall confirme la vulnérabilité du jour zéro sur la série SMA 100

Par Gabriel, le 4 février 2021 — 4 minutes de lecture
SonicWall confirme la vulnérabilité du jour zéro sur la série SMA 100

Après un avis de sécurité SonicWall évoqué il y a près de deux semaines dans plusieurs produits « probable » zéro jour, le fournisseur a confirmé au moins une vulnérabilité zéro jour dans sa série SMA 100.

La vulnérabilité a été confirmée dans un avis de sécurité mis à jour sur le site Web du fournisseur de sécurité lundi après-midi. L’avis initial du 22 janvier a révélé que SonicWall avait été violé par des «acteurs de la menace hautement sophistiqués» utilisant des zero-days présumés – mais non confirmés.

L’avis mis à jour expliquait que la vulnérabilité avait un impact sur le code 10.x de la série 10.x de Secure Mobile Access (SMA) 100 de l’entreprise (appareils physiques et virtuels, y compris SMA 200, SMA 210, SMA 400, SMA 410, SMA 500v) et n’a pas d’impact sur les versions précédentes. du produit d’accès à distance dédié aux PME. De plus, «les pare-feu SonicWall et les appliances de la série SMA 1000, ainsi que tous les clients VPN respectifs, ne sont pas affectés et restent sûrs à utiliser».

SonicWall travaille sur un correctif, qui devrait être disponible d’ici la fin de mardi.

En ce qui concerne les atténuations, SonicWall a fourni plusieurs options pendant le développement du correctif. Si un client doit continuer à utiliser son appareil, la société recommande d’activer l’authentification multifacteur et de réinitialiser les mots de passe utilisateur sur les comptes utilisant le micrologiciel 10.x. Sinon, SonicWall recommande de bloquer tous les accès du pare-feu au SMA 100, d’arrêter l’appareil jusqu’à ce qu’un correctif soit disponible, ou de réinitialiser et de charger le micrologiciel 9.x après la sauvegarde des paramètres 10.x.

Selon l’avis, le jour zéro a été confirmé après que le groupe NCC, un autre fournisseur de sécurité, en ait informé SonicWall. Dans un tweet du matin du 31 janvier, NCC Group a fait référence à un «candidat possible» pour une vulnérabilité zero-day.

« Nous avons identifié et démontré l’exploitabilité d’un éventuel candidat pour la vulnérabilité décrite et envoyé des détails à SonicWall – nous avons également vu des indications d’utilisation sans discernement d’un exploit dans la nature – vérifiez les journaux, » le tweet lis.

L’équipe d’ingénierie de SonicWall a ensuite « confirmé leur soumission comme un zéro-jour critique dans le code 10.x de la série SMA 100, et la traque comme SNWLID-2021-0001 ».

Le consultant principal en sécurité du NCC Group, Rich Warren, a fourni un contexte supplémentaire dans deux réponses tweet le 31 janvier. Dans un tweet discutant du processus de recherche de la vulnérabilité, Warren a écrit, « C’est généralement le cas où nous entendons qu’il y a un bug intéressant, puis essayez de trouver les détails via honeypot / RE. Dans ce cas, l’acteur a touché le HP avant que nous ayons allumé les pcaps, donc il n’y avait que le chemin de la requête continuer. »

Dans un autre tweet, Warren a été demandé par Florian Roth, directeur technique de Nextron Systems, « Serait-ce une bonne recommandation de restreindre les adresses IP sources autorisées à communiquer avec les interfaces de gestion? » Warren a déclaré: « Oui. Cela n’empêcherait pas l’exploitation de la vulnérabilité mais limiterait la post-exploitation. En plus de la MFA comme SonicWall l’a recommandé. »

Au-delà des références à la nature de l’exploitation et à un acteur frappant le pot de miel, peu d’informations sont disponibles concernant le ou les acteurs menaçants qui ont initialement violé SonicWall.

La Cybersecurity and Infrastructure Security Agency (CISA) a émis une alerte mardi concernant la vulnérabilité de la série SMA 100, conseillant aux administrateurs et aux utilisateurs de «mettre en œuvre l’authentification multifactorielle sur toutes les connexions de réseau privé virtuel». CISA a également déclaré que les informations faisant état de nouveaux jours zéro SonicWall n’ont pas été confirmées et font toujours l’objet d’une enquête.

Gabriel est un écrivain, journaliste et podcasteur basé à Nantes.

Gabriel

Gabriel

La tech va chaque jour plus vite et il peut-être difficile de suivre cette thématique. Grâce à mes articles, j'espère vous faire ressortir les sujets importants et intéressants afin de ne rien louper cette actualité toujours en pleine agitation.

Commentaires

Laisser un commentaire

Votre commentaire sera révisé par les administrateurs si besoin.