Le réseau SonicWall attaqué via Zero Day dans sa solution d’accès sécurisé
Français
La société de cybersécurité SonicWall a révélé vendredi soir que des pirates informatiques avaient attaqué les réseaux internes de l’entreprise en exploitant d’abord une vulnérabilité zero-day dans ses propres produits d’accès à distance sécurisés.
SonicWall a annoncé le piratage après avoir été contacté par SC Media au sujet d’un indice anonyme selon lequel les systèmes de l’entreprise avaient subi une violation majeure. La société n’a pas répondu, mais a publié une annonce officielle plus tard dans la soirée.
SonicWall, dont la gamme de produits comprend des pare-feu; solutions de sécurité et d’accès au réseau; et les solutions de sécurité des e-mails, du cloud et des terminaux ont reconnu qu’un incident s’était produit dans une déclaration de l’entreprise tard dans la soirée. «Récemment, SonicWall a identifié une attaque coordonnée sur ses systèmes internes par des acteurs hautement sophistiqués exploitant des vulnérabilités probables zero-day sur certains produits d’accès à distance sécurisé SonicWall», indique le communiqué.
La société enquête sur la présence apparente d’une vulnérabilité zero day dans sa série 100 Secure Mobile Access (SMA). Dans une première version de la déclaration, la société faisait spécifiquement référence à la version 10.x de SMA fonctionnant sur les appliances physiques SMA 200, SMA 210, SMA 400, SMA 410 et l’appliance virtuelle SMA 500v.
En conjonction avec le client VPN NetExtender de SonicWall, les passerelles SMA orientées SMB sont «utilisées pour fournir aux employés / utilisateurs un accès à distance aux ressources internes», explique le communiqué.
Initialement, SonicWall avait également déclaré que son client VPN NetExtender version 10.x (publié en 2020) – utilisé pour se connecter aux appareils de la série SMA 100 et aux pare-feu SonicWall – était également vulnérable, mais la société a rétracté cette déclaration dans une mise à jour publiée samedi soir. .
SonicWall a noté que les clients peuvent continuer à utiliser NetExtender pour l’accès à distance avec la série SMA 100. «Nous avons déterminé que ce cas d’utilisation n’est pas susceptible d’être exploité», indique le communiqué mis à jour. Cependant, la société a conseillé aux administrateurs de la série SMA 100 “de créer des règles d’accès spécifiques ou de désactiver l’accès administratif au bureau virtuel et HTTPS à partir d’Internet pendant que nous continuons à enquêter sur la vulnérabilité.”
Tout client SonicWall utilisant les solutions concernées est vulnérable aux failles du jour zéro. L’entreprise a donc mis en place une page Web sur laquelle elle fournit des directives d’atténuation aux partenaires de distribution et aux clients.
Parmi ses recommandations: “utiliser un pare-feu pour autoriser uniquement les connexions SSL-VPN à l’appliance SMA à partir d’adresses IP connues / en liste blanche” ou “configurer l’accès à la liste blanche directement sur le SMA.” SonicWall a également conseillé aux utilisateurs d’activer l’authentification multifacteur sur tous les comptes SonicWall SMA, pare-feu et MySonicWall.
SonicWall a également signalé que ses pare-feu SonicWall ne sont pas affectés, ni les points d’accès (points d’accès) de la série SMA 1000 ou SonicWall SonicWave.
En septembre 2020, SonicWall a été critiqué pour avoir pris plus de deux semaines pour corriger une vulnérabilité affectant quelque 10 millions d’appareils gérés et 500 000 organisations. SonicWall a répliqué à l’époque en disant que la société avait réagi rapidement et qu’aucune vulnérabilité n’avait été exploitée.
SC Media a mis à jour cette histoire le 24 janvier 2021 pour clarifier et élargir la description de la pointe anonyme.
