Los tres días cero son CVE-2021-20021 (autenticación incorrecta), CVE-2021-20022 (carga arbitraria de archivos) y CVE-2021-20023 (recorrido de ruta). Los bugs han sido descubiertos por la firma de ciberseguridad FireEye mientras investigaba un incidente en uno de sus clientes.
"El adversario aprovechó estas vulnerabilidades, con conocimiento íntimo de la aplicación SonicWall, para instalar una puerta trasera, acceder a archivos y correos electrónicos, y moverse lateralmente en la red de la organización de víctimas", explicó FireEye en su comunicado de prensa.
El ataque se detectó por primera vez el 26 de marzo de 2021, después de que la filial Mandiant de FireEye identificara la actividad de shell web posterior a la explotación en un sistema accesible a Internet dentro del entorno de un cliente que tenía la aplicación email security (ES) de SonicWall ejecutándose en una instalación de Windows Server 2012.
Después de obtener acceso administrativo al dispositivo, el actor de amenazas, al que FireEye le dio al apodo UNC2682, subió Behinder, un shell web disponible públicamente que acepta comunicaciones de comando y control cifrados (C2), que les dio acceso sin restricciones al símbolo del sistema, con los permisos heredados de la cuenta NT AUTHORITY\SYSTEM.
"Después de borrar el archivo de registro "webui.json" de la aplicación SonicWall, el adversario intensificó su ataque a la recolección de credenciales en preparación de moverse lateralmente en la red de la víctima. El adversario se basó en técnicas de “living off the land" en lugar de traer sus propias herramientas al medio ambiente, que a menudo tiene el beneficio de evitar potencialmente las detecciones de un producto de seguridad", según el informe.
FireEye dice que había logrado frustrar el ataque, así que no está claro cuál era el objetivo final del atacante.
Se recomienda encarecidamente a los usuarios de SonicWall que actualicen a 10.0.9.6173 Hotfix para Windows y 10.0.9.6177 Hotfix para hardware y dispositivos virtuales ESXi. El producto SonicWall Hosted Email Security se parcheó automáticamente el 19 de abril, por lo que no se requiere ninguna acción adicional.
Zero-Day Exploits in SonicWall Email Security Lead to Enterprise Compromise | FireEye Inc
