未知的对手发现正在利用野外的安全缺陷
FireEye发布了零日的详细信息漏洞在Sonicwall的电子邮件安全软件中,攻击者可以访问公司网络并在受害设备上安装后门。
3月,研究人员发现了三个零日在野外积极利用的安全缺陷。
其中包括未经授权的管理帐户创建(CVE-2021-20021),验证后任意文件上传(CVE-2021-20022)和授权后任意文件读取(CVE-2021-20023)错误。
“对手利用这些漏洞,并具有对Sonicwall应用程序的深入了解,以安装后门,访问文件和电子邮件,并横向进入受害者组织的网络”技术文章阅读。
有关的Sonicwall在“高度复杂”的网络攻击之后更新用户,以利用零日漏洞
Sonicwall电子邮件安全性(ES)提供了防止电子邮件传播威胁的保护勒索软件,零日的威胁,矛网络钓鱼和业务电子邮件妥协(BEC)。
它可以作为物理设备,虚拟设备,软件安装或托管SaaS解决方案部署。
连锁反应
FireEye的Mandiant威胁研究团队的研究人员指出,攻击者如何能够连接三个漏洞,以获取潜在受害者的整个网络。
Sonicwall ES包含一个功能,该功能使用户能够上传品牌文件,例如公司徽标。但是,由于缺乏文件验证,攻击者可以上传任意文件,包括可执行的代码,例如Web Shells。beplay体育能用吗
博客文章写道:“一旦上传,这些品牌包zip档案通常会扩展并保存到
“但是,对手可以通过制作包含包含文件的邮政编码的ZIP档案,将恶意文件放在任意位置,例如可访问的Apache Tomcat目录等任意位置beplay体育能用吗目录遍历符号。”
品牌功能中的另一个漏洞使对手可以通过发送精心设计从主机检索任意文件HTTP获取请求特定资源。
“虽然此品牌功能的工作目录是
“当Apache Tomcat Web服务器beplay体育能用吗处理此请求时,该请求正在运行nt权威\系统帐户,可以访问操作系统上的任何文件。”研究人员解释说。
该错误三重奏合并启用了Sonicwall ES设备上的新管理员帐户的创建;哈希的暴露密码对于现有的本地配置的管理帐户;在任意目录中创建Web壳;beplay体育能用吗以及实时对剥削成功和失败的调试。
逃避检测
访问行政细节后,攻击者收获了证书,以便横向移动网络。
该帖子写道:“对手依靠'生活在土地上'的技术,而不是将自己的工具带入环境,这通常有可能避免从安全产品中发现的检测。”
攻击者能够访问内存中敏感的凭据,并访问包含Sonicwall ES处理的每日存档电子邮件的文件。
阅读更多在野外积极利用的Sonicwall产品中的零日脆弱性
“在活动时,受害者组织正在使用其域中的多个主机使用相同的本地管理员密码,这为对手提供了一个轻松的机会,可以在该帐户的背景下横向移动 - 突出显示了随机密码的价值在视窗在域内的每个主机上的帐户。
“我们观察到了对侵袭者公开可用的对手的利用wmiexec.py访问多个内部主机的工具,通过Windows Management Instrumentation(WMI),可以通过Microsoft的DCOM协议执行远程命令。
“对手在隔离并从环境中删除之前,设法简要进行内部侦察活动。”
以前的攻击
最近的披露是Sonicwall产品中发现的一系列严重漏洞中的最新披露。
2021年1月,Sonicwall宣布它一直是“高度成熟的威胁行为者”的网络攻击的受害者,他针对其SMA 100系列中的漏洞,这是一个安全的远程访问客户端,可在公司环境中使用。
一个月以后,NCC小组的研究人员证实SMA 100系列中的零日虫在野外积极利用。
披露
在FireEye公开披露之前,对最新的漏洞进行了修补。
Sonicwall已建议客户和合作伙伴升级到Windows用户的10.0.9.6173 Hotfix,以及用于硬件和ESXI虚拟设备用户的10.0.9.6177 Hotfix。
SonicWall托管的电子邮件安全产品将自动为所有客户更新。
即将发布的Sonicwall ES 10.0.10版本,HotFix将取代。
你也许也喜欢FEDS ZAP Exchange Server Backdoors作为Microsoft提供了用于进一步缺陷的补丁程序
