I ricercatori di sicurezza avvertono che i criminali informatici stanno sfruttando un vecchio difetto di sicurezza dell'iniezione SQL, noto come CVE-2019-7481. La vulnerabilità si trova in SonicWall Secure Remote Access (SM) 4600 dispositivi che eseguono versioni firmware 8.x e 9.x.
CVE-2019-7481 Attualmente utilizzato negli attacchi contro le organizzazioni
La vulnerabilità viene utilizzata negli attacchi contro varie organizzazioni. Secondo le recenti indagini di CrowdStrike, ci sono prove che indicano una causa principale tramite l'accesso VPN, senza l'uso di tecniche di forza bruta. “Queste indagini hanno un denominatore comune: Tutte le organizzazioni hanno utilizzato le appliance VPN SonicWall SRA in esecuzione 9.0.0.5 firmware," CrowdStrike ha detto.
I ricercatori di CrowdStrike Intelligence hanno confermato che CVE-2019-7481 interessa i dispositivi SRA che eseguono le ultime versioni del firmware 8.x e 9.x, e che le ultime versioni di Secure Mobile Access (Scuola superiore) il firmware non mitiga il CVE per i dispositivi SRA, la società di sicurezza ha aggiunto.
La maggiore dipendenza dai dispositivi VPN ha portato varie organizzazioni criminali a utilizzare scappatoie nella sicurezza di questi dispositivi per violare le organizzazioni. Gli esempi includono il gruppo eCrime e vari attori dello stato nazionale. In relazione a 2019 vulnerabilità, il gruppo di ricerca ha identificato la "caccia grossa (BGH) attore di ransomwares" sfruttando questa vulnerabilità contro i vecchi SonicWall SRA 4600 Dispositivi VPN durante varie indagini di risposta agli incidenti.
Inoltre, a febbraio, Il Product Security Incident Response Team di SonicWall ha annunciato una nuova vulnerabilità zero-day, CVE-2021-20016, impattando sulla sua SMA (Accesso mobile sicuro) dispositivi. La vulnerabilità appena scoperta colpisce la SMA 100 prodotto di serie, e gli aggiornamenti sono necessari per le versioni con firmware 10.x. "SonicWall non ha dichiarato se o come questo nuovo exploit influisca sui vecchi dispositivi VPN SRA ancora negli ambienti di produzione,” ha sottolineato CrowdStrike.
Secondo la descrizione tecnica ufficiale, CVE-2019-7481 è una vulnerabilità in SonicWall SMA100 che potrebbe consentire all'utente non autenticato di ottenere l'accesso in sola lettura a risorse non autorizzate.
CVE-2021-22893 Bug VPN Secure Pulse sfruttato ad aprile
Nel mese di aprile, un altro zero-day VPN è stato attivamente sfruttato dagli attori delle minacce. CVE-2021-22893 è classificato come zero-day critico nei dispositivi Pulse Secure VPN, ed è stato sfruttato da hacker di stati-nazione in attacchi contro la difesa statunitense, finanza, e obiettivi del governo. Sono stati osservati attacchi contro obiettivi europei, secondo un avviso di Pulse Secure. Gli attacchi zero-day consentiti per l'esecuzione di codice in remoto con accesso a livello di amministratore ai dispositivi vulnerabili.