Une vulnérabilité d’exécution de code à distance affectant les appliances SonicWall Secure Mobile Access (SMA) est exploitée activement depuis au moins janvier 2025, selon la société de cybersécurité Arctic Wolf.
Cette faille de sécurité (CVE-2021-20035) affecte les appareils SMA 200, SMA 210, SMA 400, SMA 410 et SMA 500v et a été corrigée il y a près de quatre ans, en septembre 2021, lorsque SonicWall a déclaré qu’elle ne pouvait être exploitée que pour abattre les appliances vulnérables dans les attaques par déni de service (DoS).
Cependant, la société a mis à jour l’avis de sécurité vieux de quatre ans lundi pour signaler le bogue de sécurité comme exploité dans les attaques,étendre l’impact pour inclure l’exécution de code à distance et améliorer le score de gravité CVSS de gravité moyenne à élevée.
« On pense que cette vulnérabilité est activement exploitée à l’état sauvage. Par mesure de précaution, SonicWall PSIRT a mis à jour le résumé et révisé le score CVSS à 7,2 », a déclaré SonicWall.
Une exploitation réussie peut permettre aux acteurs de la menace distants disposant de faibles privilèges d’exploiter une « neutralisation incorrecte d’éléments spéciaux dans l’interface de gestion SMA100 » pour injecter des commandes arbitraires en tant qu’utilisateur « personne » et exécuter du code arbitraire dans des attaques de faible complexité.
CISA a également ajouté la vulnérabilité à son catalogue de vulnérabilités exploitées connues, confirmant qu’elle est maintenant maltraitée dans la nature et ordonnant aux agences de la Branche Exécutive civile fédérale (FCEB) de sécuriser leurs réseaux contre les attaques en cours jusqu’au 7 mai.
| Produit | Plateforme | Version Impactée | Version corrigée |
| SMA 100 Série | • SMA 200 • SMA 210 • SMA 400 • SMA 410 • SMA 500v (ESX, KVM, AWS, Azure) | 10.2.1.0-17sv et plus tôt | 10.2.1.1-19sv et plus haut |
| 10.2.0.7-34sv et plus tôt | 10.2.0.8-37sv et plus haut | ||
| 9.0.0.10-28sv et plus tôt | 9.0.0.11-31sv et plus hautr |
Activement exploité depuis janvier
Quelques jours après que SonicWall a étiqueté le bogue de sécurité comme exploité dans la nature sans partage lorsque les attaques ont commencé, la société de cybersécurité Arctic Wolf a signalé que les acteurs de la menace utilisaient les exploits CVE-2021-20035 dans des attaques dès janvier 2025.
Dans cette campagne, les attaquants ont également utilisé un compte super administrateur local avec un mot de passe par défaut « password » pour cibler les appliances SMA 100 avec l’interface de gestion exposée en ligne.
« Arctic Wolf a identifié une campagne d’accès aux informations d’identification VPN en cours ciblant les appliances de la série SMA 100, avec un délai de démarrage dès janvier 2025, s’étendant jusqu’en avril 2025 », a déclaré la société de cybersécurité.
« Un aspect remarquable de la campagne a été l’utilisation d’un compte super administrateur local (admin@LocalDomain) sur ces appareils, qui a un mot de passe par défaut non sécurisé de mot de passe. »
Pour bloquer les attaques CVE-2021-20035 ciblant leurs appliances SonicWall, Arctic Wolf a conseillé aux défenseurs du réseau de limiter l’accès VPN au minimum de comptes nécessaires, de désactiver les comptes inutiles, d’activer l’authentification multifacteur pour tous les comptes et de réinitialiser les mots de passe de tous les comptes locaux sur les pare-feu SMA SonicWall.
En février, SonicWall a également exhorté les clients en janvier à corriger une vulnérabilité critique affectant les passerelles d’accès sécurisé SMA1000 à la suite d’informations selon lesquelles elle avait déjà été exploitée dans des attaques zero-day et, un mois plus tard, a mis en garde contre une faille de contournement d’authentification activement exploitée dans les pare-feu Gen 6 et Gen 7 qui peut permettre aux pirates de détourner les sessions VPN.