SonicWall的電子郵件安全服務與產品爆出3項零時差漏洞

SonicWall本周緊急修補3個在電子郵件安全產品及代管服務的漏洞，而這些漏洞已經有攻擊程式使用了。

CVE-2021-20021 和 CVE-2021-20022是由FireEye的子公司Mandiant三月間發現並通報。研究人員偵測到客戶網路上一台Windows Server 2012上的SonicWall ES系統漏洞遭攻擊，安裝後門程式、存取電子郵件和檔案，並且在內部網路上橫向移動。CVE-2021-20023則是FireEye 4月6日通報SonicWall。

目前FireEye尚未判斷出攻擊者是否為已知駭客，因而暫時命名為UNC2682（UNC 代表uncategorized）。但FireEye指出，攻擊者似乎對SonicWall產品運作有深切認識。

CVE-2021-20021允許未經授權的遠端攻擊者對目標系統傳送惡意HTTP呼叫來開採，以建立管理員帳號，屬於重大漏洞。CVE-2021-20022及CVE-2021-20023則可由經授權的攻擊者開採，分別上傳任意檔案，及讀取主機上任意檔案。這兩個檔案屬於中度風險漏洞，但如果串聯CVE-2021-20021就相當危險。

FireEye觀察到，攻擊者先以CVE-2021-20021取得SonicWall系統的管理員權限，再運用CVE-2021-20023取得包含現有帳號資訊和Active Directory憑證，最後運用CVE-2021-20022，並植入名為BEHINDER的web shell程式，BEHINDER可和外部C&C伺服器建立連線接收指令。

BEHINDER類似惡意的China Chopper web shell，讓攻擊者取得伺服器管理員存取權限。

他們使用一種「離地攻擊」(living off the land) 的技巧，即使用系統上合法程式，而非安裝惡意程式，好處是可避免安全產品的偵測。

SonicWall指出，3項漏洞影響Email Security (ES) for Windows，以及執行Email Secruity的實體及ESXi虛擬裝置。此外也影響代管的Email Sercurity環境，但這項服務的漏洞已自動由ISP或雲端業者修補。除了修補程式外，SonicWall也釋出IPS簽章以偵測、攔阻攻擊行動。

SonicWall 4月9、10日已修補兩個漏洞，但卻未主動告知客戶，直到4月20日發生實際攻擊之後才警告大眾小心。

由於安全廠商在駭客行動前就將之驅逐，因此駭客的動機尚不得而知。

這是今年內SonicWall第二次修補遭積極開採的產品漏洞。一月間該公司內部系統被一個手法高超的駭客組織鎖定，疑似是開採其SSL VPN 裝置Secure Mobile Access (SMA) 100系列的零時差漏洞。

來源：SecurityWeek