Les attaquants ciblent désormais une vulnérabilité de contournement d’authentification affectant les pare-feu SonicWall peu de temps après la publication du code d’exploitation de preuve de concept (PoC).
Cette faille de sécurité (CVE-2024-53704), étiquetée par CISA comme gravité critique et trouvée dans le mécanisme d’authentification SSLVPN, affecte les versions 7.1 de SonicOS.x (jusqu’à 7.1.1-7058), 7.1.2-7019 et 8.0.0-8035, utilisés par plusieurs modèles de pare-feu de génération 6 et 7 et d’appareils de la série SOHO.
Une exploitation réussie permet aux attaquants distants de détourner des sessions VPN SSL actives sans authentification, ce qui leur accorde un accès non autorisé aux réseaux des cibles.
SonicWall a exhorté les clients à mettre immédiatement à niveau le micrologiciel SonicOS de leurs pare-feu pour empêcher l’exploitation dans un e-mail envoyé avant de divulguer publiquement la vulnérabilité et de publier des mises à jour de sécurité le 7 janvier.
L’entreprise a également partagé des mesures d’atténuation pour les administrateurs qui ne pouvaient pas immédiatement sécuriser leurs appareils, notamment en limitant l’accès aux sources fiables et en limitant entièrement l’accès à Internet s’il n’était pas nécessaire.
Jeudi, la société de cybersécurité Arctic Wolf a déclaré avoir commencé à détecter les tentatives d’exploitation ciblant cette vulnérabilité dans les attaques « peu de temps après que le PoC a été rendu public », confirmant les craintes de SonicWall concernant le potentiel d’exploitation accru de la vulnérabilité.
« L’exploit PoC publié permet à un acteur de la menace non authentifié de contourner MFA, de divulguer des informations privées et d’interrompre les sessions VPN en cours d’exécution », a déclaré Arctic Wolf.
« Compte tenu de la facilité d’exploitation et des renseignements disponibles sur les menaces, Arctic Wolf recommande fortement de passer à un micrologiciel fixe pour remédier à cette vulnérabilité. »
Exploit PoC publié un mois après le patch
Les chercheurs en sécurité de Bishop Fox ont publié un exploit PoC le 10 février, environ un mois après la publication des correctifs.
Bishop Fox a ajouté qu’environ 4 500 serveurs VPN SSL SonicWall non corrigés ont été exposés en ligne selon les analyses Internet du 7 février.
« Les preuves de concept (POC) pour la vulnérabilité de contournement de l’authentification SonicOS SSLVPN (CVE-2024-53704) sont désormais accessibles au public », a averti SonicWall après la publication du code d’exploitation.
« Cela augmente considérablement le risque d’exploitation. Les clients doivent immédiatement mettre à jour tous les pare-feu non corrigés (7.1.x et 8.0.0). Si l’application de la mise à jour du micrologiciel n’est pas possible, désactivez SSLVPN. »
Dans le passé, les affiliés des ransomwares Akira et Fog ont également ciblé les pare-feu SonicWall. Arctic Wolf a averti en octobre qu’au moins 30 intrusions avaient commencé avec un accès au réseau à distance via des comptes VPN SonicWall.