AVERTISSEMENT : Menace imminente - Les opérateurs de ransomware exploitent les produits Secure Mobile Access (SMA) série 100 et Secure Remote Access (SRA) de SonicWall qui utilisent un firmware 8.X non corrigé et END-OF-LIFE (EOL).
Référence:
Advisory #2020-013
Version:
1.0
Logiciels concernés :
SonicWall SRA 4600/1600 (EOL 2019)
SonicWall SRA 4200/1200 (EOL 2016)
SonicWall SSL-VPN 200/2000/400 (EOL 2013/2014)
SonicWall SMA 400/200 (Still Supported, in Limited Retirement Mode)
Type:
Credential Theft
Date:
15/07/2021
Sources
Risques
Le Centre pour la cybersécurité Belgique (CCB) a été informé d'une menace imminente de type ransomware visant les dispositifs d'accès à distance SRA et SMA 8.X non corrigés.
Pour ce faire, des groupes d'acteurs malveillants envisagent d'utiliser des informations d'identification volées. L'exploitation cible une vulnérabilité connue qui a été corrigée dans les nouvelles versions du firmware.
Les organisations qui utilisent des instances SonicWall vulnérables doivent mettre à jour ou déconnecter leurs appareils immédiatement, et réinitialiser tous les mots de passe et/ou activer la fonction MFA !
Les organisations qui ne prennent pas les mesures appropriées pour atténuer ces vulnérabilités sur leurs produits des séries SRA et SMA 100 courent un sérieux risque d'attaque ciblée par ransomware.
Actions recommandées
SRA 4600/1600 (EOL 2019) / SRA 4200/1200 (EOL 2016) / SSL-VPN 200/2000/400 (EOL 2013/2014)
• Déconnexion immédiate
• Réinitialisation des mots de passe
SMA 400/200 (Still Supported, in Limited Retirement Mode)
• Mettre à jour vers les versions 10.2.0.7-34 ou 9.0.0.10 immédiatement
• Réinitialisation des mots de passe
• Activer l’authentification à deux facteurs
Remarque : Bien qu'ils ne fassent pas partie de cette campagne visant le firmware SRA/SMA 8.x, les clients disposant des produits suivants doivent également s'assurer qu'ils sont bien sur la dernière version du firmware afin d'atténuer les vulnérabilités découvertes au début de 2021.
SMA 210/410/500v (Supporté activement)
• Le firmware 9.x doit être immédiatement mis à jour vers la version 9.0.0.10-28sv ou ultérieure.
• Le firmware 10.x doit être immédiatement mis à jour vers la version 10.2.0.7-34sv ou ultérieure.
Renseignements complémentaires
• Le CCB conseille aux administrateurs d'instances SonicWall vulnérables de suivre les conseils de SonicWall énumérés ci-dessus.
• Le CCB conseille aux organisations de renforcer leurs capacités de surveillance et de détection afin de détecter toute activité suspecte et d'assurer une réponse rapide en cas d'intrusion.
• Le CCB recommande vivement aux organisations de procéder à une inspection régulière de leur infrastructure afin de détecter rapidement les appareils en fin de vie et de les remplacer par des appareils sûrs et pris en charge.