Vulnerabilità Zero-Day su Appliance SSL-VPN SonicWall
01/25/2021
Proto: N040121.
Con la presente Yoroi desidera informarla riguardo una grave vulnerabilità 0-day scoperta su prodotti SonicWall “Virtual Office”, utilizzati per fornire accessi SSL-VPN in molte realtà aziendali. Al momento la vulnerabilità si trova in uno stadio investigativo, infatti non sono ancora presenti identificativi CVE.
A causa della presenza di dipendenze software datate all’interno dei moduli “Virtual Office” di SonicWall, un attaccante remoto non autenticato può sfruttare falle ShellShock per ottenere esecuzione di comandi arbitrari direttamente sull’appliance bersaglio.
Figura. Potenziale Esposizione Internet SSL-VPN SonicWall Afflitte (Source:ShodanHQ)
Il Vendor ha confermato la vulnerabilità attraverso un apposito bollettino di sicurezza, dove gli apparati della serie “SMA 100 Series” risultano afflitti ed in fase di investigazione da parte di SonicWall. Nel bollettino SNWLID-2021-0001 non risultano al momento disponibili patch ufficiali.
Sono invece stati ritenuti esclusi dalla problematica i prodotti: SonicWall Firewalls, NetExtender VPN Client, SMA 1000 Series e SonicWall SonicWave APs.
Considerata la potenziale esposizione internet delle tecnologie afflitte, il recente rilascio di PoC in grado di sfruttare tali vulnerabilità e l’assenza di patch correttive ufficiali, Yoroi consiglia caldamente di seguire le indicazioni del Vendor: valutare la creazione di un regole e policy di whitelisting per la gestione degli accessi al solo personale autorizzato (pag. 248 della guida amministrativa), valutare la disabilitazione temporanea del modulo “Virtual Office” e degli accessi amministrativi via HTTPS, e l'abilitazione di autenticazioni a doppio fattore.
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
