3个零日漏洞攻击SonicWall企业电子邮件安全设备

SonicWall解决了其托管和内部电子邮件安全（ES）产品中的三个关键安全漏洞，这些漏洞正被广泛利用。

追踪为CVE-2021-2001和CVE-2021-2222，缺陷被发现并报告给FireEye公司的Mundiar子公司于2021年3月26日。这家网络安全公司在一个客户环境中的一个可访问互联网的系统上检测到攻击后的网络外壳活动，该客户的环境中运行着SonicWall的ES应用程序，安装在Windows Server 2012上。由FireEye公司鉴定的第三个缺陷（CVE-2021-2002）于2021年4月6日公布于SunICWALL。

FireEye正在跟踪名为UNC2682的恶意活动。

研究人员乔希·弗莱舍（Josh Fleischer）、克里斯·迪吉亚莫（Chris DiGiamo）和亚历克斯·佩尼诺（Alex Pennino）说：“这些漏洞是为了在SonicWall ES设备上获得管理权限和代码执行而被执行的。”。

对手在熟悉SonicWall应用程序的情况下，利用这些漏洞安装后门、访问文件和电子邮件，并横向进入受害者组织的网络。"

以下是对这三个缺陷的简要总结-

• （CVSS分数：9.4）-允许攻击者通过向远程主机发送精心编制的HTTP请求来创建管理帐户
• CVE-2021-20022（CVSS分数：6.7）-允许经过身份验证的攻击者将任意文件上载到远程主机，以及
• （CVSS分数：6.7）-一种目录遍历漏洞，允许经过身份验证的攻击者读取远程主机上的任意文件。

管理访问不仅使攻击者能够利用CVE-2021-20023读取配置文件，计算那些包含现有帐户信息和Active Directory凭据，但也滥用CVE-2021-20022上传一个ZIP存档，其中包含一个名为BEHINDER的基于JSP的web shell，能够接受加密命令和控制（C2）通信。

FireEye说：“通过向服务器添加一个web外壳，对手可以不受限制地访问命令提示符，并拥有NT AUTHORITY\SYSTEM帐户的继承权限。”他补充说，攻击者随后使用“陆地生活”（LotL）技术获取凭据，在网络上横向移动，甚至“压缩一个子目录，其中包含SonicWall ES处理的电子邮件的每日档案。”

在该公司观察到的事件中，据说威胁行为人在被隔离并从环境中移除之前，通过进行内部侦察活动（尽管是短暂的），升级了他们的攻击，从而挫败了他们的任务。入侵背后的真正动机尚不清楚。

建议SonicWall用户升级到适用于Windows的10.0.9.6173修补程序，以及适用于硬件和ESXi虚拟设备的10.0.9.6177修补程序。SonicWall托管的电子邮件安全产品已于4月19日自动修补，因此无需额外操作。

使现代化

总部位于米尔皮塔斯的网络安全公司将这些发现标记为与第三方研究人员和法医分析公司进行常规合作的结果，以确保其产品符合安全最佳实践。

该公司在对《黑客新闻》的一份声明中说：“在这一过程中，SonicWall意识到并验证了某些零日漏洞，至少在一个已知的案例中，这些漏洞正被其托管和内部电子邮件安全产品在野外利用。”。“SonicWall设计、测试并发布了修补程序，以纠正问题，并将这些缓解措施传达给客户和合作伙伴。”