Plus de 25 000 appareils SSLVPN SonicWall accessibles au public sont vulnérables aux failles de gravité critique, dont 20 000 utilisant une version de micrologiciel SonicOS/OSX que le fournisseur ne prend plus en charge.
Ces résultats proviennent d’une analyse menée par la société de cybersécurité Bishop Fox, motivée par une série de vulnérabilités importantes révélées cette année ayant un impact sur les appareils SonicWall.
Les vulnérabilités affectant les périphériques VPN SSL SonicWall ont récemment été exploitées par des groupes de ransomware, notamment Fog ransomware et Akira, car ils constituent une cible attrayante pour obtenir un accès initial aux réseaux d’entreprise.
Surface d’attaque massive
En exploitant des outils d’analyse Internet tels que Shodan et BinaryEdge et ses techniques exclusives d’empreintes digitales, Bishop Fox a identifié 430 363 pare-feu SonicWall exposés publiquement.
L’exposition du public signifie que les interfaces de gestion du pare-feu ou VPN SSL sont accessibles depuis Internet, offrant aux attaquants l’opportunité de rechercher des vulnérabilités, des micrologiciels obsolètes/non corrigés, des erreurs de configuration et des mots de passe faibles par force brute.
« L’interface de gestion d’un pare-feu ne doit jamais être exposée publiquement, car cela présente un risque inutile », explique BishopFox.
« L’interface VPN SSL, bien que conçue pour fournir un accès à des clients externes via Internet, devrait idéalement être protégée par des restrictions d’adresse IP source. »
En examinant les versions de micrologiciels utilisées sur ces appareils, les chercheurs ont découvert que 6 633 utilisent les séries 4 et 5, qui ont toutes deux atteint la fin de vie (EoL) il y a des années. 14 077 autres utilisent des versions non prises en charge de la série 6 désormais partiellement prise en charge.
Il en résulte que 20 710 appareils exécutant des micrologiciels en fin de vie sont vulnérables à de nombreux exploits publics, mais ce chiffre n’est pas représentatif de l’ampleur précise du problème.
BishopFox a également trouvé 13 827 exécutant des versions de micrologiciel inconnues, 197 099 exécutant un micrologiciel de la série 6 non pris en charge, mais pour lequel il était impossible de déterminer la version exacte, et 29 254 autres exécutant une version inconnue du micrologiciel de la série 5.
En examinant les résultats de l’analyse à l’aide de la technologie d’empreinte digitale pour identifier les versions spécifiques du micrologiciel et leur protection contre les vulnérabilités connues, les chercheurs ont déterminé que 25 485 sont vulnérables aux problèmes de gravité critique et 94 018 aux failles de gravité élevée.
La plupart des appareils confirmés vulnérables sont sur le micrologiciel de la série 7 mais n’ont pas été mis à jour vers la dernière version, ce qui comble les lacunes de sécurité.
Bien que le total de 119 503 points de terminaison vulnérables soit une amélioration par rapport aux 178 000 jugés vulnérables aux attaques par déni de service et aux attaques à la ROQUETTE en janvier 2024, cela indique toujours une lente adoption des correctifs.