Saldırganlar, daha önce bilinen iki güvenlik açıkını (CVE-2024-38475, CVE-2023-44221) kullanıyorlar.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna iki kusur ekledi ve WatchTowr araştırmacıları, birlikte nasıl zincirlenebileceklerini analiz ettiler ve bir kavram kanıtı yayınladılar (veya dedikleri gibi “algılama artefact jeneratör”).
Sömürülen güvenlik açıkları (CVE-2024-38475, CVE-2023-44221)
Sonicwall SMA100 aletleri, kuruluşlar tarafından çalışanların kurumsal uygulamalara güvenli bir şekilde erişmelerini sağlamak için kullanılan VPN ağ geçitleridir.
CVE-2024-38475 Apache HTTP Sunucusu V2.4.59 ve daha önceki bir yol geçiş güvenlik açığıdır, bu da kimlik doğrulanmamış saldırganların Sunucu tarafından sunulmasına izin verilen sistem konumlarını dosya ile eşleştirmesine izin verir ve sonuçta web sunucusunun okuyabileceği herhangi bir dosyayı okumak için. (Sonicwall’un SMA 100 aletleri Apache HTTP sunucusunun değiştirilmiş bir sürümünü kullanır.)
WatchTowr araştırmacıları, şu anda etkin oturumlar için oturum tanımlayıcıları içeren SQLite veritabanını indirmek için bu güvenlik açığını kullanabileceklerini keşfettiler ve daha sonra şu anda günlüğe kaydedilmiş bir Yönetici Oturum Kimliği çıkardılar ve bu bilgileri savunmasız cihazlar üzerinde idari kontrol elde etmek için kullandılar.
CVE-2023-44221 Cihazın SSL-VPN yönetim arayüzünde, yalnızca kimliği doğrulanmış saldırganlar tarafından kaldırılabilen bir OS komutu enjeksiyon güvenlik açığıdır.
Neyse ki saldırganlar için CVE-2024-38475, cihazda kimlik doğrulamasını atlamalarına ve idari ayrıcalıklar kazanmalarına izin verir ve CVE-2023-44221, komutları bir olarak enjekte etmelerini sağlar. hiç kimse kullanıcı.
Ne yapalım?
İki güvenlik açığı Sonicwall SMA 200, SMA 210, SMA 400, SMA 410 ve SMA 500V cihazlarını etkiler.
CVE-2023-44221, Aralık 2023’te ürün yazılımı sürüm 10.2.1.10-62SV, CVE-2024-38475’te Aralık 2024’te ürün yazılımı sürüm 10.2.1.14-75sv ve sonraki sürümünde yamalandı.
Cisa ve Sonicwall, hedeflenen cihazları tehlikeye attıktan sonra saldırganların ne yaptıklarıyla ilgili ayrıntıları paylaşmadılar ve saldırganların iki kusurdan ne kadar geçtiğini bilmiyoruz.
Ne yazık ki, Sonicwall SMA cihazları hem bilinen hem de daha önce bilinmeyen (aka “sıfır gün”) güvenlik açıkları ile düzenli olarak ihlal edilmektedir.
Cihazlarını düzenli olarak yamalayan kuruluşlar, bunların ve daha önceki saldırılarda tehlikeye girip girmediklerini araştırmalıdır.
En son ihlalleri, güvenlik açıklarını ve siber güvenlik tehditlerini asla kaçırmak için Breaking News e-posta uyarımıza abone olun. BURADA Abone Olun!