Sintesi
È stato recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2021-20035 che interessa i dispositivi SonicWall della serie SMA 100. Tale vulnearbilità risulterebbe sfruttata nell’ambito di una campagna mirata all’accesso abusivo tramite credenziali VPN su dispositivi della serie SMA di SonicWall.
Rischio
Stima d’impatto della vulnerabilità sulla comunità di riferimento: Medio (64.1)
Tipologia
- Arbitrary Code Execution
Descrizione e potenziali impatti
Ricercatori di sicurezza hanno recentemente rilevato lo sfruttamento attivo in rete della vulnerabilità CVE-2021-20035 che interessa i dispositivi SonicWall, sfruttata nell’ambito di una campagna mirata all’accesso abusivo tramite credenziali VPN compromesse su dispositivi della serie SMA 100.
Malgrado la tipologia di vulnerabilità fosse stata inizialmente descritta nel 2021 dal vendor come un potenziale Denial-of-Service (DoS), SonicWall ha recentemente aggiornato il proprio advisory modificando tale dettaglio in Remote Code Execution (RCE).
Il vendor segnala che la vulnerabilità può essere sfruttata esclusivamente da utenti locali autenticati: altresì, sono state recentemente analizzate campagne nelle quali utenti malintenzionati hanno sfruttato vulnerabilità note presenti in sistemi perimetrali non aggiornati e/o utilizzato tecniche di attacco quali password stuffing e bruteforce per ottenere credenziali di accesso valide. Qualora ottenuto l’accesso, un attaccante potrebbe quindi abusare della vulnerabilità in oggetto per stabilire la persistenza sul sistema e ampliare la portata del proprio attacco.
In tal senso i ricercatori hanno identificato l’utilizzo dell’account superadmin “admin@LocalDomain”: nel dettaglio è stato evidenziato come tale account venga generato in automatico durante le prime fasi di installazione del sistema, con password predefinita “password”.
Si evidenzia che il rischio di compromissione rimane elevato in presenza di credenziali predefinite non modificate o di password deboli, nonostante l’aggiornamento dei dispositivi SonicWall SMA risolva la vulnerabilità CVE-2021-20035.
Per eventuali ulteriori approfondimenti si consiglia di consultare il link all’analisi, disponibile nella sezione Riferimenti.
Prodotti e/o versioni affette
Sonicwall Serie SMA 100, piattaforme:
- SMA 200 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
- SMA 210 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
- SMA 400 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
- SMA 410 versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
- SMA 500v (ESX, KVM, AWS, Azure) versioni 10.2.1.0-17sv, 10.2.0.7-34sv, 9.0.0.10-28sv e precedenti
Azioni di mitigazione
In linea con le dichiarazioni del vendor, si raccomandano le seguenti azioni di mitigazione:
- modificare le password predefinite degli account locali sui firewall SonicWall SMA, adottando passphrase robuste;
- mantenere i dispositivi costantemente aggiornati;
- abilitare l’autenticazione multi-fattore (MFA) per tutti gli account utente;
- limitare l’accesso VPN solo agli account strettamente necessari;
- non esporre i dispositivi e le relative interfacce di controllo direttamente sulla rete Internet;
- eseguire una revisione periodica degli account configurati e disabilitare quelli non più in uso;
- attivare un sistema di monitoraggio dei log per rilevare attività sospette su tutti i dispositivi firewall.
Riferimenti
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0022
1La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.
