Sikkerhedsforskere advarer om, at cyberkriminelle udnytter en ældre sikkerhedsfejl ved SQL-injektion, kendt som CVE-2019-7481. Sårbarheden er placeret i SonicWall Secure Remote Access (FRK) 4600 enheder, der kører firmwareversion 8.x og 9.x.
CVE-2019-7481 I øjeblikket brugt i angreb mod organisationer
Sårbarheden bruges i angreb på forskellige organisationer. Ifølge CrowdStrikes nylige undersøgelser, der er beviser, der indikerer en grundlæggende årsag via VPN-adgang, uden brug af brute force teknikker. ”Disse undersøgelser har en fællesnævner: Alle organisationer brugte SonicWall SRA VPN-apparater, der kørte 9.0.0.5 firmware," Sagde CrowdStrike.
CrowdStrike Intelligence forskere bekræftede, at CVE-2019-7481 påvirker SRA-enheder, der kører de nyeste versioner af 8.x og 9.x firmware, og at de nyeste versioner af Secure Mobile Access (Gymnasium) firmware mildner ikke CVE for SRA-enheder, tilføjede sikkerhedsselskabet.
Den øgede afhængighed af VPN-enheder har ført til, at forskellige kriminelle organisationer har brugt smuthuller i disse enheders sikkerhed for at bryde organisationer. Eksempler inkluderer eCrime-gruppen og forskellige nationalstatens aktører. I forhold til 2019 sårbarhed, forskergruppen har identificeret ”storvildjagt (BGH) ransomware skuespillers ”udnytter denne sårbarhed mod ældre SonicWall SRA 4600 VPN-enheder under forskellige hændelsesresponsundersøgelser.
Endvidere, i februar, SonicWalls Product Security Incident Response Team meddelte en ny nul-dags sårbarhed, CVE-2021-20016, påvirker dets SMA (Sikker mobiladgang) enheder. Den nyligt opdagede sårbarhed påvirker SMA 100 serie produkt, og opdateringer kræves til versioner, der kører 10.x firmware. ”SonicWall oplyste ikke, om eller hvordan denne nyeste udnyttelse påvirker ældre SRA VPN-enheder, der stadig er i produktionsmiljøer,”Påpegede CrowdStrike.
I henhold til den officielle tekniske beskrivelse, CVE-2019-7481 er en sårbarhed i SonicWall SMA100, der kan tillade uautoriseret bruger at få skrivebeskyttet adgang til uautoriserede ressourcer.
CVE-2021-22893 Pulse Secure VPN Bug udnyttet i april
I april, en anden VPN-nul-dag blev aktivt udnyttet af trusselaktører. CVE-2021-22893 er klassificeret som en kritisk nul-dag i Pulse Secure VPN-enheder, og det er blevet udnyttet af nationalstat hackere i angreb mod amerikansk forsvar, finans, og regeringens mål. Der blev observeret angreb mod europæiske mål, ifølge en Pulse Secure-rådgivning. Nul-dages tilladte eksterne kodeudførelsesangreb med administratorniveauadgang til sårbare enheder.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: