SonicWall avertit qu’une faille de contrôle d’accès récemment corrigée, identifiée comme CVE-2024-40766 dans SonicOS, est désormais « potentiellement » exploitée dans des attaques, exhortant les administrateurs à appliquer des correctifs dès que possible.
« Cette vulnérabilité est potentiellement exploitée à l’état sauvage. Veuillez appliquer le patch dès que possible pour les produits concernés. Les dernières versions des correctifs sont disponibles en téléchargement sur mysonicwall.com, » avertit l’avis SonicWall mis à jour.
CVE-2024-40766 est une faille de contrôle d’accès critique (score CVSS v3: 9,3) affectant les périphériques SonicWall Firewall Gen 5 et Gen 6, ainsi que les périphériques Gen 7.
Le fournisseur du logiciel n’a pas divulgué beaucoup d’informations sur la faille autre que son potentiel d’accès non autorisé aux ressources et sa capacité à bloquer le pare-feu, éliminant ainsi les protections du réseau.
Lorsque SonicWall a divulgué la faille pour la première fois le 22 août 2024, on pensait que la faille ne concernait que l’accès de gestion SonicWall SonicOS. Avec la mise à jour d’aujourd’hui, la société avertit que CVE-2024-40766 a également un impact sur la fonctionnalité SSLVPN du pare-feu.
Appliquez des patchs dès que possible
La liste des produits et versions concernés, ainsi que les versions qui traitent de CVE-2024-40766, sont résumées comme suit:
- SonicWall Gen 5 exécutant la version 5.9.2.14-12o et antérieure de SonicOS-corrigé dans la version 5.9.2.14-13o de SonicOS
- SonicWall Gen 6 exécutant SonicOS version 6.5.4.14-109n et versions antérieures – corrigé dans 6.5.2.8-2n (pour SM9800, NSsp 12400, NSsp 12800) et version 6.5.4.15-116n (pour les autres pare-feu Gen 6)
- SonicWall Gen 7 exécutant SonicOS version 7.0.1-5035 et versions antérieures – non reproductible dans 7.0.1-5035 et versions ultérieures.
Les dernières recommandations d’atténuation de SonicWall incluent:
- Limitez la gestion du pare-feu aux sources fiables et désactivez l’accès Internet au portail de gestion WAN si possible.
- Limitez l’accès VPN SSL aux sources fiables uniquement et désactivez-le entièrement si vous n’en avez pas besoin.
- Pour les appareils de génération 5 et 6, les utilisateurs de VPN SSL avec des comptes locaux doivent immédiatement mettre à jour leurs mots de passe et les administrateurs doivent activer l’option « L’utilisateur doit changer le mot de passe » pour les utilisateurs locaux.
- Activez l’authentification multifacteur (MFA) pour tous les utilisateurs de VPN SSL à l’aide de mots de passe à usage unique HTTP ou par e-mail (OTP). Plus d’informations sur la configuration de cette mesure sont disponibles ici.
Bien que SonicWall n’ait pas expliqué comment la faille est activement exploitée, des failles similaires ont été utilisées dans le passé pour obtenir un accès initial aux réseaux d’entreprise.
Les auteurs de menaces ciblent généralement SonicWall car ils sont exposés à Internet pour fournir un accès VPN à distance.
En mars 2023, des pirates chinois présumés (UNC4540) ont ciblé des appareils SonicWall Secure Mobile Access (SMA) non corrigés pour installer des logiciels malveillants personnalisés qui persistaient lors des mises à niveau du micrologiciel.
Breachtrace a contacté SonicWall pour en savoir plus sur la manière dont la faille était activement exploitée dans les attaques, mais aucune réponse n’était immédiatement disponible.