聚焦源代码安全,网罗国内外最新资讯!
编译:奇安信代码卫士
SonicWall 公司解决了托管和现场邮件安全 (ES) 产品中的三个严重漏洞,它们已遭在野利用。
其中,CVE-2021-20021和CVE-2021-20022 是由火眼公司在2021年3月26日发现并报告的。当时火眼公司在Windows Server 2021 运行 SonicWall ES 应用程序的客户环境中可通过互联网访问的系统上检测到利用后的 web shell 活动。第三个漏洞也由火眼公司在2021年4月6日披露给 SonicWall。
火眼公司将该恶意活动称为 “UNC2682”。
研究员 Josh Fleischer、Chris DiGiamo 和 Alex Pennino 表示,“这些漏洞被组合利用于获取管理员访问权限并在 SonicWall ES 设备上执行代码。”攻击者具有扎实的 SonicWall 应用知识,他们利用这些漏洞安装后门、访问文件和邮件,并横向移动到受害者所在组织机构的网络中。“
这三个漏洞的概况如下:
CVE-2021-20021:CVSS 评分9.4,可导致攻击者向远程主机发送构造的 HTTP 请求以创建管理员账户。
CVE-2021-20022:CVSS 评分6.7,可导致攻击者认证后向远程主机上传任意文件。
CVE-2021-20023:CVSS 评分6.7,是一个目录遍历缺陷,可导致攻击者认证后读取远程主机上的任意文件。
这种管理员访问权限不仅可使攻击者利用 CVE-2021-20023读取配置文件,计算包含关于现有账户信息的文件以及活动目录凭据,而且还能滥用CVE-2021-20022 上传包含基于 JSP 的 web shell (BEHINDER,接收加密的 C2 通信)的 ZIP 文档。
火眼公司指出,“在服务器上增加 web shell 后,攻击者拥有对命令提示符的无限访问权限,具有 NT AUTHORITY\SYSTEM 账户的继承权限。之后攻击者利用 LotL (living off the land) 技术收割凭据、在网络中横向移动,甚至压缩包含由 SonicWall ES 处理的日常邮件文档。“
火眼公司发现,攻击者在被隔离和删除前,升级了攻击活动,开展了内部侦察活动,不过时间短暂。攻击者背后的真实动机尚不明朗。
建议 SonicWall 用户升级至 10.0.9.6173热补丁 (Windows) 和10.0.9.6177热补丁(硬件和 ESXi虚拟设备)。SonicWall Hosted ES 产品已于4月19日自动更新,因此用户无需手动打补丁。
推荐阅读
立即更新!SonicWall 公司再次发布SMA 100 0day 固件更新
80万个 SonicWall VPN 易受 RCE 漏洞影响
原文链接
https://thehackernews.com/2021/04/3-zero-day-exploits-hit-sonicwall.html
题图:Pixabay License
转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。
奇安信代码卫士 (codesafe)
国内首个专注于软件开发安全的
产品线。
觉得不错,就点个 “在看” 或 "赞” 吧~
990
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
