SonicWall的電子郵件安全服務與產品爆出3項零時差漏洞

SonicWall本周緊急修補3個在電子郵件安全產品及代管服務的漏洞,而這些漏洞已經有攻擊程式使用了

SonicWall本周緊急修補3個在電子郵件安全產品及代管服務的漏洞,而這些漏洞已經有攻擊程式使用了。

CVE-2021-20021 和 CVE-2021-20022是由FireEye的子公司Mandiant三月間發現並通報。研究人員偵測到客戶網路上一台Windows Server 2012上的SonicWall ES系統漏洞遭攻擊,安裝後門程式、存取電子郵件和檔案,並且在內部網路上橫向移動。CVE-2021-20023則是FireEye 4月6日通報SonicWall。

目前FireEye尚未判斷出攻擊者是否為已知駭客,因而暫時命名為UNC2682(UNC 代表uncategorized)。但FireEye指出,攻擊者似乎對SonicWall產品運作有深切認識。

CVE-2021-20021允許未經授權的遠端攻擊者對目標系統傳送惡意HTTP呼叫來開採,以建立管理員帳號,屬於重大漏洞。CVE-2021-20022及CVE-2021-20023則可由經授權的攻擊者開採,分別上傳任意檔案,及讀取主機上任意檔案。這兩個檔案屬於中度風險漏洞,但如果串聯CVE-2021-20021就相當危險。

FireEye觀察到,攻擊者先以CVE-2021-20021取得SonicWall系統的管理員權限,再運用CVE-2021-20023取得包含現有帳號資訊和Active Directory憑證,最後運用CVE-2021-20022,並植入名為BEHINDER的web shell程式,BEHINDER可和外部C&C伺服器建立連線接收指令。

BEHINDER類似惡意的China Chopper web shell,讓攻擊者取得伺服器管理員存取權限。

他們使用一種「離地攻擊」(living off the land) 的技巧,即使用系統上合法程式,而非安裝惡意程式,好處是可避免安全產品的偵測。

SonicWall指出,3項漏洞影響Email Security (ES) for Windows,以及執行Email Secruity的實體及ESXi虛擬裝置。此外也影響代管的Email Sercurity環境,但這項服務的漏洞已自動由ISP或雲端業者修補。除了修補程式外,SonicWall也釋出IPS簽章以偵測、攔阻攻擊行動。

SonicWall 4月9、10日已修補兩個漏洞,但卻未主動告知客戶,直到4月20日發生實際攻擊之後才警告大眾小心。

由於安全廠商在駭客行動前就將之驅逐,因此駭客的動機尚不得而知。

這是今年內SonicWall第二次修補遭積極開採的產品漏洞。一月間該公司內部系統被一個手法高超的駭客組織鎖定,疑似是開採其SSL VPN 裝置Secure Mobile Access (SMA) 100系列的零時差漏洞。

來源:SecurityWeek

關於我們

自1990年創刊UXmaster雜誌,1991年獲得美國LAN Magazine獨家授權中文版,2006年獲得CMP Network Computing授權,2009年合併CMP Network Magazine獨家授權中文版,2014年轉型為《網路資訊》雜誌網站,為台灣中小企業協助技術領導者落實企業策略,了解網路規劃及應用,為企業網路應用、管理、MIS、IT人員必備之專業雜誌網站。


與我們聯絡

加入《網路資訊》雜誌社群

© Copyright 2017 本站版權所有,禁止任意轉載 網路資訊雜誌 / 心動傳媒股份有限公司 聯絡電話:+886 2 29432416