Logo
Hamburger Menu Icon
Yoroi Background

Gravi Falle in Appliance Email SonicWall

04/22/2021

Proto: N060421.

Con la presente CERT-Yoroi desidera informarla relativamente alla recente scoperata di attacchi 0day rivolti a tecnologie SonicWall Email Security, appliance di sicurezza on-premise per la posta elettronica diffusi in ambienti SMB ed Enterprise. Le falle sono note con gli identificativi CVE-2021-20021, CVE-2021-20022, CVE-2021-20023. 

A causa di lacune nella gestione delle richieste rivolte alle interfacce HTTP/HTTPS degli appliance, un attaccante remoto privo di autenticazione può sfruttare le tre falle per creare account amministrativi a piacere, accedere ai flussi email ed installare codici malevoli e webshell, guadagnando l’accesso alle porzioni di rete interna. 

Il Vendor ha confermato le problematiche attraverso tre bollettini di sicurezza (SNWLID-2021-0007SNWLID-2021-0008SNWLID-2021-0010), ed ha indicato come afflitte le versioni: 

  • Email Security (ES) minori di 10.0.9.6173 (Windows), incluse: 
    • 10.0.4-Present 
    • 10.0.3 
    • 10.0.2 
    • 10.0.1 
  • Hosted Email Security (HES) minori di 10.0.9.6177 (Hardware & ESXi Virtual Appliance), incluse: 
    • 10.0.4-Present 
    • 10.0.3 
    • 10.0.2 
    • 10.0.1 

Anche le versioni SonicWall Email Security 7.0.0 - 9.2.2 sono afflitte dalle vulnerabilità, tuttavia essendo fuori supporto non hanno ricevuto aggiornamenti. 

Considerata la potenziale esposizione internet delle tecnologie afflitte, la loro diffusione e la recente scoperta di attacchi in corso volti allo sfruttamento delle falle ai fini di intrusioni informatiche, CERT-Yoroi consiglia caldamente di applicare le patch rese disponibili dal Vendor, di valutare l’upgrade di eventuali appliance in versioni End-Of-Live e di valutare l’abilitazione delle funzionalità IPS (firme 15520, 1067, 15509) qualora supportate dagli appliance di sicurezza SonicWall in uso. 

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram