Cyber-Attacks

“Autores de ameaças altamente sofisticados” exploram falhas no ataque coordenado ao Firewall SonicWall.

A frase Zero Day pode ser vista em uma tela de computador monocromática cheia de uns e zeros.
ProlongarGetty Images

O provedor de segurança de rede SonicWall disse na segunda-feira que os hackers estão explorando uma vulnerabilidade crítica de dia zero em um dos dispositivos que vende.

A falha de segurança reside na série Secure Mobile Access 100, disse a SonicWall em um comunicado atualizado na segunda-feira . A vulnerabilidade, que afeta o código do firmware 10.x do SMA 100, não deve receber uma correção até o final desta terça-feira.

A atualização de segunda-feira veio um dia depois que a empresa de segurança NCC Group disse no Twitter que havia detectado “o uso indiscriminado de um exploit na natureza”. O tweet da NCC se referia a uma versão anterior do comunicado da SonicWall que dizia que seus pesquisadores “identificaram um ataque coordenado em seus sistemas internos por agentes de ameaças altamente sofisticados que exploram prováveis ​​vulnerabilidades de dia zero em certos produtos de acesso remoto seguro da SonicWall”.

Em um e-mail, uma porta-voz do Grupo NCC escreveu: “Nossa equipe observou sinais de uma tentativa de exploração de uma vulnerabilidade que afeta os dispositivos da série SonicWall SMA 100. Estamos trabalhando em estreita colaboração com a SonicWall para investigar isso com mais profundidade ”.

Na atualização de segunda-feira, os representantes da SonicWall disseram que a equipe de engenharia da empresa confirmou que o envio do NCC Group incluía um “dia zero crítico” no código SMA 100 série 10.x. SonicWall está rastreando como SNWLID-2021-0001 . A série SMA 100 é uma linha de dispositivos de acesso remoto seguro.

A revelação torna a SonicWall pelo menos a quinta grande empresa a relatar nas últimas semanas que foi alvo de hackers sofisticados. Outras empresas incluem o provedor de ferramentas de gerenciamento de rede SolarWinds, Microsoft, FireEye e Malwarebytes. CrowdStrike também relatou ser um alvo, mas disse que o ataque não foi bem-sucedido.

Nem o SonicWall nem o NCC Group disseram que o hack envolvendo o SonicWall zero-day estava relacionado à campanha de hack do SolarWinds. Com base no momento da divulgação e alguns dos detalhes nela, entretanto, há uma especulação generalizada de que os dois estão conectados.

O Grupo NCC se recusou a fornecer detalhes adicionais antes que o dia zero seja corrigido para evitar que a falha seja explorada ainda mais.

As pessoas que usam a série SMA 100 da SonicWall devem ler os avisos da empresa cuidadosamente e seguir as instruções provisórias para proteger os produtos antes de uma correção ser lançada. Principal entre eles:

  1. Se você deve continuar a operação do dispositivo SMA 100 Series até que um patch esteja disponível
    • Ative o MFA. Este é um passo * CRÍTICO * até que o patch esteja disponível.
    • Redefinir senhas de usuário para contas que utilizaram a série SMA 100 com firmware 10.X
  2. Se o SMA 100 series (10.x) estiver atrás de um firewall, bloqueie todo o acesso ao SMA 100 no firewall;
  3. Desligue o dispositivo da série SMA 100 (10.x) até que um patch esteja disponível; ou
  4. Carregue o firmware versão 9.x após a reinicialização das configurações padrão de fábrica. * Faça backup de suas configurações 10.x *
    • Nota importante: o downgrade direto do Firmware 10.x para 9.x com as configurações intactas não é suportado. Você deve primeiro reinicializar o dispositivo com os padrões de fábrica e, em seguida, carregar uma configuração 9.x com backup ou reconfigurar o SMA 100 do zero.
    • Certifique-se de seguir as orientações de segurança das melhores práticas de autenticação multifator (MFA) se você escolher instalar o 9.x.
    • Os firewalls SonicWall e os dispositivos da série SMA 1000, bem como todos os respectivos clientes VPN, não são afetados e permanecem seguros para uso.

Este post foi atualizado para corrigir a descrição do SMA 100.

Deseja saber mais Clique Aqui!

By Lucas Rodrigues Monteiro

Bacharel em Sistemas da Informação, Certificado MCTS 70-680 / MOS, Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux! Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.

Deixe uma resposta

Translate »