SonicWall本周二警告托管及本地部署的电子邮件安全产品三项漏洞已发生开采活动,呼吁用户尽快安装修补程序。
这三项漏洞及开采是由安全厂商FireEye发现并通报。
这三项漏洞分别为CVE-2021-20021、CVE-2021-20022和CVE-2021-20023,影响托管及本地部署的SonicWall电子邮件安全(Email Security)产品。其中CVE-2021-20021出在管理员控制台允许从微软AD组织单元(Organization Unit,OU)添加另一管理员账号的API功能验证不当。这项漏洞允许远程未经授权的攻击者发送恶意HTTP调用开采,而创建管理员账号,CVSS 3.1风险层级达9.8(满分为10)。
CVE-2021-20022和CVE-2021-20023漏洞,则是出在让管理员为Web UI上的“品牌”功能,即可经该功能加入公司logo等定制化元素。CVE-2021-20022漏洞允许验证后的攻击者上传有害的.ZIP文件,将恶意文件包括web shell或其他程序代码植入任何地点。CVE-2021-20023则是“品牌”功能上的目录跨越(directory-traversal)漏洞,允许通过发送恶意HTTP调用,来读取主机上任意文件。CVE-2021-20022和CVE-2021-20023被列为中度风险。
FireEye指出,3项漏洞可被串联使用,而该公司研究人员于3月底正是观察到串联三者的攻击。一家在Windows Server 2012上跑SonicWall ES的系统遭到开采后,攻击者在服务器上植入名为BEHINDER web shell。BEHINDER不到1kb,可和外部C&C服务器创建加密连接,还让攻击者得以直接访问指令控制台及管理员账号。
FireEye旗下的Mandiant公司尚无法判定攻击组织的身份,暂命名为UNC2682。
影响的ES版本包括Email Security 10.0.1以后版本。除了Windows版ES软件外,3项漏洞也影响本地部署的SonicWall ES硬件设备、虚拟设备及托管服务。
SonicWall已发布更新版本ES 10.0.9,并呼吁使用及Windows Server上安装ES软件的企业用户,应尽快升级到各平台的最新版本ES。其中CVE-2021-20021和CVE-2021-20022已在4月9日修补,CVE-2021-20023则在4月20日修补。有媒体质疑何以SonicWall 3月底就接获通报,4月初就修好漏洞,却要等到4月20日才通知客户。
至于托管的SonicWall Hosted Email Security (HES)则已在4月19日修补,企业用户无需任何动作。此外,旧版本的ES 7.0.0到9.2.2也受到影响,但这些是已EOL(end of life,EOL)的产品,已不再获得支持。
美国网络安全暨基础架构安全局(CISA)周三也发出紧急公告。
这是SonicWall今年以来第二度发生漏洞攻击事件。2月初SonicWall紧急发布修补程序,以解决一个1月底已有黑客开采的SMA 100系列SSL VPN设备零时差漏洞。