SonicWall cảnh báo người dùng về các lỗ hổng zero-day



Nhà sản xuất tường lửa và thiết bị an ninh mạng SonicWall đang thúc giục khách hàng thực hiện các hành động phòng ngừa sau khi hệ thống của họ bị tấn công thông qua các lỗi bảo mật chưa từng biết trước đây trong một số sản phẩm mới.”Gần đây, SonicWall đã xác định được một cuộc tấn công kết hợp vào các hệ thống nội bộ của mình bởi các kẻ đe dọa rất tinh vi khai thác các lỗ hổng zero-day có thể xảy ra trên một số sản phẩm secure remote access của SonicWall”, công ty cho biết trong một cảnh báo trên trang web của mình vào cuối ngày thứ Sáu.

 Từ ban đầu, công ty đã nghi ngờ rằng một số thiết bị vật lý và ảo hóa thuộc dòng Secure Mobile Access (SMA) của họ, cũng như ứng dụng khách hàng NetExtender VPN và tường lửa SonicWall có thể dễ bị tấn công. Tuy nhiên, sau khi điều tra thêm về vụ việc, danh sách các sản phẩm dễ bị xâm nhập đã được sửa đổi vào thứ Bảy.

Công ty xác định rằng không có thế hệ tường lửa của SonicWall nào bị ảnh hưởng và ngay cả với các NetExtender VPN client, SonicWall SonicWave AP hoặc SMA 1000 Series cũng tương tự. Chỉ duy nhất những sản phẩm có nguy cơ bị tấn công nhất là các thiết bị SMA 100 series, bao gồm SMA 200, SMA 210, SMA 400, SMA 410 và SMA 500v .

Các thiết bị SMA 100 series là access management gateway dành cho các doanh nghiệp vừa và nhỏ, cho phép họ cung cấp quyền truy cập dựa trên trình duyệt và dựa trên VPN cho các nhân viên từ xa vào tài nguyên nội bộ của công ty hoặc thậm chí là nhiều nguồn  tài nguyên khác nhau được lưu trữ trên hệ thống đám mây. Nó có thể được kết hợp PN-client như VPN NetExtender client.

Công ty cho biết: “Các khách hàng hiện tại của dòng SMA 100 có thể tiếp tục sử dụng NetExtender để truy cập từ xa với dòng SMA 100. “Chúng tôi đã xác định rằng trường hợp sử dụng này không dễ bị xâm nhập bới các hacker.”

Người dùng của SMA 100 Series được khuyến khích  đã đến lúc hành động.

Theo SMA, điều quan trọng đối với khách hàng sử dụng  dòng SMA 100 là phải kích hoạt xác thực nhiều bước . SMA hỗ trợ mật khẩu một lần dựa trên thời gian (TOTP) được tạo bằng các ứng dụng dành cho thiết bị di động như Google Authenticator. TOTP cũng có thể được kích hoạt để hoạt động cùng với các xác thực của LDAP  cho các kết nối SSL-VPN trên các thiết bị SonicWall.

Một đề xuất bổ sung là bật tính năng lọc Geo-IP / botnet để tạo chính sách chặn lưu lượng truy cập web từ các quốc gia không cần truy cập ứng dụng thông qua thiết bị SMA. Bạn cũng nên bật và định cấu hình tính năng End Point Control, tính năng này buộc kiểm tra bảo mật môi trường và thiết bị của người dùng trước khi cho phép thiết lập kết nối VPN. Quản trị viên cũng có thể sử dụng tính năng Login Schedule để tạo chính sách và thời gian biểu về thời điểm người dùng được phép xác thực và khi nào họ nên tự động đăng xuất. Hướng dẫn cấu hình các tính năng này có trong hướng dẫn quản trị SMA 10.2.

SonicWall attacker chưa rõ động cơ

Không rõ các hacker nhắm mục tiêu vào SonicWall là mục đích và liệu mục tiêu của chúng là gián điệp mạng hay có động cơ tài chính, như với ransomware và các loại mã độc tống tiền khác.. Công ty đã không tiết lộ bất kỳ thông tin nào về mức độ của việc bị tấn công, các chỉ số khác về sự xâm phạm (IOC). Một đại diện của SonicWall nói với CSO qua email rằng công ty không nói thêmvbất kì thông tin mật  vào thời điểm này ngoài những gì đã được công bố trong cảnh báo của họ.

Những kẻ tấn công nhắm vào các nhà cung cấp bảo mật.

SonicWall là nhà cung cấp bảo mật mạng thứ ba gần đây đã thông báo về lỗ hỗng bảo mật sau FireEye và Malwarebytes. Cả FireEye và Malwarebytes đều đã bị nhắm tới bởi cùng một tác nhân đe dọa có liên quan đến các cơ quan tình báo Nga và cũng chịu trách nhiệm cho cuộc tấn công chuỗi cung ứng phần mềm lớn hơn liên quan đến các bản cập nhật phần mềm SolarWinds bị nhiễm virus. Malwarebytes bị nhắm mục tiêu thông qua một attack vector khác liên quan đến các ứng dụng có quyền truy cập đặc quyền vào Microsoft Office 365 và môi trường Azure. Một attack vector tương tự đã được cố gắng chống lại công ty an ninh mạng CrowdStrike.

Mặc dù hiện tại không có mối liên hệ nào giữa cuộc tấn công phản kích SonicWall và SolarWinds hoặc các cuộc tấn công Azure, nhưng rõ ràng là hacker nói chung không còn bị ngăn cản việc tìm kiếm đối tượng  mới và ngay cả đối với những tổ chức  và các công ty hiểu biết về bảo mật nhất.

 



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật