I ricercatori di sicurezza hanno appena rilasciato un avviso su un nuovo SonicWall vulnerabilità zero-day. NCC Group ha dichiarato di aver rilevato tentativi di exploit attivi contro il difetto e ha informato SonicWall.
SonicWall Zero-Day Exploited in the Wild
L'azienda ha analizzato le segnalazioni dei propri clienti in merito alla SMA compromessa 100 dispositivi di rete in serie.
"In questi casi, finora abbiamo osservato solo l'uso di credenziali precedentemente rubate per accedere ai dispositivi SMA,"Ha detto la squadra. Gli attacchi sono legati all'aumento del lavoro a distanza durante la pandemia, portando a tentativi di "accesso inappropriato". Lo sfruttamento attivo evidenzia anche l'importanza di abilitare l'AMF o il controllo dell'endpoint (EPC) Caratteristiche:
Ciò sottolinea ulteriormente l'importanza di abilitare queste funzionalità, non solo sulla serie SMA, ma nell'intera azienda come pratica di sicurezza generalmente consigliata. Nell'era dei servizi cloud e del lavoro remoto, le credenziali possono essere la chiave del regno e gli aggressori ne sono perfettamente consapevoli, l'avviso ha sottolineato.
La quantità di informazioni che circondano lo zero-day è limitata. Non fornendo dettagli sulla natura della vulnerabilità, i ricercatori sperano di prevenire ulteriori attacchi da parte di altri attori della minaccia.
NCC Group ritiene che lo zero-day identificato sia lo stesso utilizzato da un utente malintenzionato sconosciuto per ottenere l'accesso alla rete interna di SonicWall. L'incidente è stato rivelato a gennaio 23 hanno colpito i gateway Secure Mobile Access, utilizzato all'interno di reti governative e aziendali per fornire accesso alle intranet ai dipendenti remoti.
SonicWall continuerà a "indagare a fondo sulla questione e condividere ulteriori informazioni e indicazioni". SonicWall aggiungerà ulteriori aggiornamenti all'avviso originale, quindi se sei un cliente, dovresti tenerlo d'occhio. L'azienda ha anche rilasciato una guida aggiornata alle best practice di sicurezza per SMA 100 dispositivi della serie. Sono disponibili anche istruzioni su come abilitare MFA.
I molti rischi del lavoro a distanza
Il lavoro a distanza è diventato un punto focale in molti attacchi informatici a causa dell'attuale pandemia di coronavirus. Un altro potenziale rischio per le aziende è l'uso improprio di RDP (Remote Desktop Protocol). "Il protocollo desktop remoto (RDP) è un modo comune per gli utenti di Windows di gestire in remoto la workstation o server. Tuttavia, ha una storia di problemi di sicurezza e, in generale non dovrebbero essere accessibili al pubblico senza altre protezioni (ex. firewall whitelist, 2FA),"I ricercatori di Shodan hanno spiegato l'anno scorso. Assicurati di saperne di più su i rischi del lavoro di Remote Desktop.