Pesquisadores de segurança estão alertando que os cibercriminosos estão aproveitando uma falha de segurança de injeção de SQL mais antiga, conhecido como CVE-2019-7481. A vulnerabilidade está localizada no SonicWall Secure Remote Access (em) 4600 dispositivos que executam versões de firmware 8.xe 9.x.
CVE-2019-7481 atualmente usado em ataques contra organizações
A vulnerabilidade é usada em ataques contra várias organizações. De acordo com as recentes investigações de CrowdStrike, há evidências que indicam uma causa raiz via acesso VPN, sem o uso de técnicas de força bruta. “Essas investigações têm um denominador comum: Todas as organizações usaram dispositivos SonicWall SRA VPN em execução 9.0.0.5 firmware,” CrowdStrike disse.
Os pesquisadores da CrowdStrike Intelligence confirmaram que o CVE-2019-7481 afeta os dispositivos SRA que executam as versões mais recentes do firmware 8.xe 9.x, e que as versões mais recentes do Secure Mobile Access (ensino médio) firmware não atenua o CVE para dispositivos SRA, a empresa de segurança adicionou.
O aumento da dependência de dispositivos VPN fez com que várias organizações criminosas usassem brechas na segurança desses dispositivos para violar organizações. Os exemplos incluem o grupo eCrime e vários atores do estado-nação. Com relação ao 2019 vulnerabilidade, a equipe de pesquisa identificou “caça grande (BGH) ator de ransomwares ”explorando esta vulnerabilidade contra SonicWall SRA mais antigo 4600 Dispositivos VPN durante várias investigações de resposta a incidentes.
além disso, em fevereiro, A equipe de resposta a incidentes de segurança de produtos da SonicWall anunciou uma nova vulnerabilidade de dia zero, CVE-2021-20016, impactando seu SMA (Acesso móvel seguro) dispositivos. A vulnerabilidade recém-descoberta afeta o SMA 100 produto de série, e atualizações são necessárias para versões que executam firmware 10.x. “A SonicWall não afirmou se ou como esta exploração afeta quaisquer dispositivos SRA VPN mais antigos ainda em ambientes de produção,”CrowdStrike apontou.
De acordo com a descrição técnica oficial, CVE-2019-7481 é uma vulnerabilidade no SonicWall SMA100 que pode permitir que usuários não autenticados obtenham acesso somente leitura a recursos não autorizados.
CVE-2021-22893 Bug do Pulse Secure VPN explorado em abril
Em abril, outra VPN de dia zero foi ativamente explorada por agentes de ameaças. CVE-2021-22893 é classificado como um dia zero crítico em dispositivos Pulse Secure VPN, e foi explorado por hackers de estado-nação em ataques contra a defesa dos EUA, finança, e metas governamentais. Ataques contra alvos europeus foram observados, de acordo com um comunicado do Pulse Secure. O dia zero permitiu ataques de execução remota de código com acesso de nível de administrador a dispositivos vulneráveis.