SonicWall 的電子郵件安全服務與產品爆出 3 項零時差漏洞

SonicWall 本周緊急修補 3 個在電子郵件安全產品及代管服務的漏洞，而這些漏洞已經有攻擊程式使用了。

CVE-2021-20021 和 CVE-2021-20022 是由 FireEye 的子公司 Mandiant 三月間發現並通報。研究人員偵測到客戶網路上一台 Windows Server 2012 上的 SonicWall ES 系統漏洞遭攻擊，安裝後門程式、存取電子郵件和檔案，並且在內部網路上橫向移動。CVE-2021-20023 則是 FireEye 4 月 6 日通報 SonicWall。

目前 FireEye 尚未判斷出攻擊者是否為已知駭客，因而暫時命名為 UNC2682（UNC 代表 uncategorized）。但 FireEye 指出，攻擊者似乎對 SonicWall 產品運作有深切認識。

CVE-2021-20021 允許未經授權的遠端攻擊者對目標系統傳送惡意 HTTP 呼叫來開採，以建立管理員帳號，屬於重大漏洞。CVE-2021-20022 及 CVE-2021-20023 則可由經授權的攻擊者開採，分別上傳任意檔案，及讀取主機上任意檔案。這兩個檔案屬於中度風險漏洞，但如果串聯 CVE-2021-20021 就相當危險。

FireEye 觀察到，攻擊者先以 CVE-2021-20021 取得 SonicWall 系統的管理員權限，再運用 CVE-2021-20023 取得包含現有帳號資訊和 Active Directory 憑證，最後運用 CVE-2021-20022，並植入名為 BEHINDER 的 web shell 程式，BEHINDER 可和外部 C&C 伺服器建立連線接收指令。

BEHINDER 類似惡意的 China Chopper web shell，讓攻擊者取得伺服器管理員存取權限。

他們使用一種「離地攻擊」(living off the land) 的技巧，即使用系統上合法程式，而非安裝惡意程式，好處是可避免安全產品的偵測。

SonicWall 指出，3 項漏洞影響 Email Security (ES) for Windows，以及執行 Email Secruity 的實體及 ESXi 虛擬裝置。此外也影響代管的 Email Sercurity 環境，但這項服務的漏洞已自動由 ISP 或雲端業者修補。除了修補程式外，SonicWall 也釋出 IPS 簽章以偵測、攔阻攻擊行動。

SonicWall 4 月 9、10 日已修補兩個漏洞，但卻未主動告知客戶，直到 4 月 20 日發生實際攻擊之後才警告大眾小心。

由於安全廠商在駭客行動前就將之驅逐，因此駭客的動機尚不得而知。

這是今年內 SonicWall 第二次修補遭積極開採的產品漏洞。一月間該公司內部系統被一個手法高超的駭客組織鎖定，疑似是開採其 SSL VPN 裝置 Secure Mobile Access (SMA) 100 系列的零時差漏洞。

來源：SecurityWeek