SonicWall的電子郵件安全服務與產品爆出3項零時差漏洞
SonicWall本周緊急修補3個在電子郵件安全產品及代管服務的漏洞,而這些漏洞已經有攻擊程式使用了。
CVE-2021-20021 和 CVE-2021-20022是由FireEye的子公司Mandiant三月間發現並通報。研究人員偵測到客戶網路上一台Windows Server 2012上的SonicWall ES系統漏洞遭攻擊,安裝後門程式、存取電子郵件和檔案,並且在內部網路上橫向移動。CVE-2021-20023則是FireEye 4月6日通報SonicWall。
目前FireEye尚未判斷出攻擊者是否為已知駭客,因而暫時命名為UNC2682(UNC 代表uncategorized)。但FireEye指出,攻擊者似乎對SonicWall產品運作有深切認識。
CVE-2021-20021允許未經授權的遠端攻擊者對目標系統傳送惡意HTTP呼叫來開採,以建立管理員帳號,屬於重大漏洞。CVE-2021-20022及CVE-2021-20023則可由經授權的攻擊者開採,分別上傳任意檔案,及讀取主機上任意檔案。這兩個檔案屬於中度風險漏洞,但如果串聯CVE-2021-20021就相當危險。
FireEye觀察到,攻擊者先以CVE-2021-20021取得SonicWall系統的管理員權限,再運用CVE-2021-20023取得包含現有帳號資訊和Active Directory憑證,最後運用CVE-2021-20022,並植入名為BEHINDER的web shell程式,BEHINDER可和外部C&C伺服器建立連線接收指令。
BEHINDER類似惡意的China Chopper web shell,讓攻擊者取得伺服器管理員存取權限。
他們使用一種「離地攻擊」(living off the land) 的技巧,即使用系統上合法程式,而非安裝惡意程式,好處是可避免安全產品的偵測。
SonicWall指出,3項漏洞影響Email Security (ES) for Windows,以及執行Email Secruity的實體及ESXi虛擬裝置。此外也影響代管的Email Sercurity環境,但這項服務的漏洞已自動由ISP或雲端業者修補。除了修補程式外,SonicWall也釋出IPS簽章以偵測、攔阻攻擊行動。
SonicWall 4月9、10日已修補兩個漏洞,但卻未主動告知客戶,直到4月20日發生實際攻擊之後才警告大眾小心。
由於安全廠商在駭客行動前就將之驅逐,因此駭客的動機尚不得而知。
這是今年內SonicWall第二次修補遭積極開採的產品漏洞。一月間該公司內部系統被一個手法高超的駭客組織鎖定,疑似是開採其SSL VPN 裝置Secure Mobile Access (SMA) 100系列的零時差漏洞。
來源:SecurityWeek