février 13, 2021

SonicWall violé par une faille Zero-Day dans les outils d’accès à distance

Par admin2020

[ad_1]

SonicWall a révélé vendredi soir que des menaces hautement sophistiquées avaient attaqué ses systèmes internes en exploitant une probable faille zero-day sur les produits d’accès à distance sécurisés de l’entreprise.

Le fournisseur de sécurité de la plate-forme basé à Milpitas, en Californie, a déclaré que le client VPN NetExtender compromis et les produits de la série 100 Secure Mobile Access (SMA) orientés SMB sont utilisés pour fournir aux employés et aux utilisateurs un accès à distance aux ressources internes. La série SMA 1000 n’est pas sensible à cette attaque et utilise des clients différents de NetExtender, selon SonicWall.

«Nous pensons qu’il est extrêmement important d’être transparent avec nos clients, nos partenaires et la communauté plus large de la cybersécurité au sujet des attaques en cours contre les entreprises et les gouvernements mondiaux», a écrit SonicWall dans un «Avis de sécurité urgent» publié sur sa page Web de notifications de produits à 11: 15 h HE vendredi. La société a déclaré que l’attaque coordonnée contre ses systèmes avait été identifiée «récemment».

[Related: SolarWinds Hackers Access Malwarebytes’ Office 365 Emails]

SonicWall a refusé de répondre aux questions sur le point de savoir si l’attaque contre ses systèmes internes a été menée par le même acteur de la menace qui a injecté pendant des mois un code malveillant dans l’outil de surveillance du réseau SolarWinds Orion. La société, cependant, a noté qu’elle avait vu une «augmentation spectaculaire» des cyberattaques contre les entreprises qui fournissent des infrastructures essentielles et des contrôles de sécurité aux gouvernements et aux entreprises.

La société a déclaré qu’elle fournissait des recommandations d’atténuation à ses partenaires de distribution et à ses clients. L’authentification multifacteur doit être activée sur tous les comptes SonicWall SMA, pare-feu et MySonicWall, selon SonicWall.

Les produits compromis dans la brèche SonicWall incluent: la version 10.x du client VPN NetExtender (sortie en 2020) utilisée pour se connecter aux appliances de la série SMA 100 et aux pare-feu SonicWall; ainsi que la version 10.x de SMA de SonicWall fonctionnant sur les appliances physiques SMA 200, SMA 210, SMA 400, SMA 410 et l’appliance virtuelle SMA 500v.

Les partenaires et clients SonicWall utilisant la série SMA 100 doivent soit utiliser un pare-feu pour autoriser uniquement les connexions SSL-VPN à l’appliance SMA à partir d’adresses IP connues / en liste blanche, soit configurer l’accès à la liste blanche directement sur le SMA, selon l’entreprise.

Pour les pare-feu avec accès SSN-VPN utilisant la version compromise du client VPN NetExtender, les partenaires et les clients doivent soit désactiver l’accès NetExtender au (x) pare-feu (s) ou restreindre l’accès aux utilisateurs et administrateurs via une liste d’autorisation / liste blanche pour leurs adresses IP publiques, selon SonicWall.

SonicWall est le cinquième fournisseur de cybersécurité pure-play à divulguer publiquement une attaque au cours des sept dernières semaines. FireEye a fait sauter le couvercle de ce qui allait devenir la campagne de piratage SolarWinds le 8 décembre lorsque l’entreprise a déclaré qu’elle avait été violée lors d’une attaque visant à obtenir des informations sur certains de ses clients gouvernementaux. L’attaquant a pu accéder à certains des systèmes internes de FireEye, a déclaré la société.

Ensuite, CrowdStrike a révélé le 23 décembre qu’il avait été contacté huit jours plus tôt par le Threat Intelligence Center de Microsoft, qui avait identifié le compte Microsoft Azure d’un revendeur faisant des appels anormaux aux API cloud de Microsoft au cours d’une période de 17 heures il y a plusieurs mois, selon le directeur technique Michael Sentonas .

Le compte Azure du revendeur a été utilisé pour gérer les licences Microsoft Office de CrowdStrike, et les pirates ont échoué dans leur tentative de lire les e-mails de l’entreprise car CrowdStrike n’utilise pas de messagerie Office 365, selon Sentonas.

Ensuite, Mimecast a annoncé le 12 janvier qu’un acteur de menace sophistiqué avait compromis un certificat émis par Mimecast utilisé pour authentifier plusieurs des produits de la société auprès des services Web Microsoft 365 Exchange. Le certificat compromis a été utilisé pour authentifier les produits Sync and Recover, Continuity Monitor et Internal Email Protect (IEP) de Mimecast auprès de Microsoft 365, a révélé la société.

Mimecast a refusé de répondre aux questions du CRN sur la question de savoir si sa violation a été effectuée par le même groupe qui a attaqué SolarWinds. Mais trois responsables de la cybersécurité ont déclaré à Reuters le 12 janvier qu’ils soupçonnaient que les pirates qui avaient compromis Mimecast étaient le même groupe qui avait fait irruption dans SolarWinds. Le Washington Post a rapporté que l’attaque SolarWinds avait été menée par le service de renseignement étranger russe.

Plus récemment, Malwarebytes a révélé mardi que les pirates de SolarWinds utilisaient un produit de production d’e-mails dormant au sein de son client Office 365 qui permettait d’accéder à un sous-ensemble limité d’e-mails internes de l’entreprise. Malwarebytes n’utilise pas lui-même SolarWinds Orion et a appris l’attaque de Microsoft à la suite d’une activité suspecte d’une application tierce dans le client Office 365 de l’entreprise.

[ad_2]

Source link