Mercredi, la CISA a averti les agences fédérales de sécuriser leurs appliances SonicWall Secure Mobile Access (SMA) de la série 100 contre les attaques exploitant une vulnérabilité d’exécution de code à distance de haute gravité.
Suivi comme CVE-2021-20035, cette faille de sécurité affecte les appareils SMA 200, SMA 210, SMA 400, SMA 410 et SMA 500v (ESX, KVM, AWS, Azure). Une exploitation réussie peut permettre aux acteurs de la menace distants disposant de faibles privilèges d’exécuter du code arbitraire dans des attaques de faible complexité.
« Une neutralisation incorrecte d’éléments spéciaux dans l’interface de gestion SMA100 permet à un attaquant authentifié à distance d’injecter des commandes arbitraires en tant qu’utilisateur » personne », ce qui pourrait potentiellement conduire à l’exécution de code », explique SonicWall dans un avis mis à jour cette semaine.
SonicWall a corrigé cette vulnérabilité il y a près de quatre ans, en septembre 2021, lorsque l’entreprise a déclaré qu’elle ne pouvait être exploitée que pour supprimer les appliances vulnérables lors d’attaques par déni de service (DoS).
Cependant, lundi, il a mis à jour l’avis de sécurité CVE-2021-20035 pour le signaler comme exploité dans des attaques, améliorer le score de gravité CVSS de moyen à élevé et étendre l’impact pour inclure l’exécution de code.
« On pense que cette vulnérabilité est activement exploitée à l’état sauvage. Par mesure de précaution, SonicWall PSIRT a mis à jour le résumé et révisé le score CVSS à 7,2 », a déclaré SonicWall.
| Produit | Plateforme | Version Impactée | Version corrigée |
| SMA 100 Series | • SMA 200 • SMA 210 • SMA 400 • SMA 410 • SMA 500v (ESX, KVM, AWS, Azure) | 10.2.1.0-17sv et versions antérieures | 10.2.1.1-19sv et supérieur |
| 10.2.0.7 – 34sv et versions antérieures | 10.2.0.8 – 37sv et supérieur | ||
| 9.0.0.10-28sv et versions antérieures | 9.0.0.11 – 31sv et supérieur |
Hier, CISA a confirmé que la vulnérabilité était maintenant exploitée dans la nature en l’ajoutant au catalogue des vulnérabilités exploitées connues, qui répertorie les failles de sécurité signalées par l’agence de cybersécurité comme activement exploitées dans les attaques.
Conformément à la Directive Opérationnelle Contraignante (BOD) 22-01 publiée en novembre 2021, les agences de l’Exécutif Civil Fédéral (FCEB) disposent désormais de trois semaines, jusqu’au 7 mai, pour sécuriser leurs réseaux contre les attaques en cours.
Bien que la DBO 22-01 ne s’applique qu’aux agences fédérales américaines, tous les défenseurs des réseaux doivent prioriser la correction de cette vulnérabilité de sécurité dès que possible pour bloquer les tentatives potentielles de violation.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.
En février, SonicWall a également mis en garde contre une faille de contournement d’authentification activement exploitée dans les pare-feu Gen 6 et Gen 7 qui pourrait permettre aux pirates de détourner les sessions VPN.
Un mois plus tôt, la société avait exhorté ses clients à corriger une vulnérabilité critique affectant les passerelles d’accès sécurisées SMA1000 à la suite d’informations selon lesquelles elle avait déjà été exploitée dans des attaques zero-day.