D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
В конце января 2021 года стало известно, компания SonicWall пострадала в ходе «скоординированной хакерской атаки», использовавшей некую уязвимость в собственных продуктах компании. Вскоре после этого эксперты сообщили, что загадочная уязвимость нулевого дня в сетевых устройствах SonicWall уже находится под «беспорядочным» атаками. При этом аналитики были убеждены, что обнаружили ту самую 0-day уязвимость, при помощи которой взломали саму SonicWall.
На этой неделе компания наконец представила обновление прошивки (10.2.0.5-29sv) для устройств серии SMA 100, которые находились под атаками. Разработчики подчеркивают, что все пользователи аппаратных решений SMA 200, SMA 210, SMA 400, SMA 410 и виртуальных SMA 500v (Azure, AWS, ESXi, HyperV) должны установить это обновление незамедлительно.
Согласно бюллетеню безопасности, патч устраняет проблемы, позволяющие злоумышленникам получить учетные данные администратора и удаленно выполнить произвольный код на устройствах.
Хотя представители SonicWall по-прежнему не раскрывают почти никаких деталей уязвимости, свет на происходящее пролили эксперты компании NCC Group, ранее обнаружившие атаки на эту уязвимость. Так, в Twitter Олли Уайтхаус и Рич Уоррен (Ollie Whitehouse и Rich Warren) дают советы по обнаружению «обхода аутентификации» на устройстве.
https://twitter.com/x/status/1355872426245156866
Рич Уоррен, в свою очередь, пошел даже дальше и перечислил определенные пути, которые могут указывать на успешный обход авторизации в логах SonicWall. По его словам, о компрометации могут свидетельствовать запросы /cgi-bin/management, если их не предваряли успешные запросы к /__api__/v1/logon ил /__api__/v1/logon//authenticate.
Чтобы проверить обход на уровне пользователя через VPN-клиент или интернет, следует искать в логах доступа записи о /cgi-bin/sslvpnclient и /cgi-bin/portal. Если пользователь получил доступ к этим путям без предварительного доступа путям, перечисленным далее, это указывает на обход авторизации. Через VPN-клиент: /cgi-bin/userLogin. Через веб: /__api__/v1/logon (200) и /__api__/v1/logon//authenticate.
То есть приведенные исследователями данные указывают на то, что уязвимость позволяет удаленным атакующим получить доступ к внутренней сети или интерфейсу управления без предварительной аутентификации.
Источник: xakep.ru/2021/02/04/sonicwall-patch/
На этой неделе компания наконец представила обновление прошивки (10.2.0.5-29sv) для устройств серии SMA 100, которые находились под атаками. Разработчики подчеркивают, что все пользователи аппаратных решений SMA 200, SMA 210, SMA 400, SMA 410 и виртуальных SMA 500v (Azure, AWS, ESXi, HyperV) должны установить это обновление незамедлительно.
Согласно бюллетеню безопасности, патч устраняет проблемы, позволяющие злоумышленникам получить учетные данные администратора и удаленно выполнить произвольный код на устройствах.
Хотя представители SonicWall по-прежнему не раскрывают почти никаких деталей уязвимости, свет на происходящее пролили эксперты компании NCC Group, ранее обнаружившие атаки на эту уязвимость. Так, в Twitter Олли Уайтхаус и Рич Уоррен (Ollie Whitehouse и Rich Warren) дают советы по обнаружению «обхода аутентификации» на устройстве.
https://twitter.com/x/status/1355872426245156866
Рич Уоррен, в свою очередь, пошел даже дальше и перечислил определенные пути, которые могут указывать на успешный обход авторизации в логах SonicWall. По его словам, о компрометации могут свидетельствовать запросы /cgi-bin/management, если их не предваряли успешные запросы к /__api__/v1/logon ил /__api__/v1/logon//authenticate.
Чтобы проверить обход на уровне пользователя через VPN-клиент или интернет, следует искать в логах доступа записи о /cgi-bin/sslvpnclient и /cgi-bin/portal. Если пользователь получил доступ к этим путям без предварительного доступа путям, перечисленным далее, это указывает на обход авторизации. Через VPN-клиент: /cgi-bin/userLogin. Через веб: /__api__/v1/logon (200) и /__api__/v1/logon//authenticate.
То есть приведенные исследователями данные указывают на то, что уязвимость позволяет удаленным атакующим получить доступ к внутренней сети или интерфейсу управления без предварительной аутентификации.
Источник: xakep.ru/2021/02/04/sonicwall-patch/