Хакеры эксплуатируют три уязвимости 0-day в SonicWall ES

[Artifact]

Производитель выпустил исправления для уязвимостей, но рассказал о них только спустя неделю.

Хакеры эксплуатируют три уязвимости нулевого дня в продукте SonicWall для взлома корпоративных сетей и установки бэкдоров. Атаки впервые были обнаружены ИБ-компанией FireEye в марте 2021 года, когда один из ее клиентов обратился к ней за помощью в устранении последствий инцидента безопасности.
Как сообщают специалисты FireEye, злоумышленники воспользовались тремя ранее неизвестными уязвимостями в решении безопасности для электронной почты SonicWall ES, которое сканирует почтовый трафик на предмет киберугроз.
За атаками стоит киберпреступная группировка, которой специалисты FireEye присвоили идентификатор UNC2682. Хакеры проэксплуатировали уязвимость обхода аутентификации ( CVE-2021-20021 ), получили возможность читать файлы на устройстве ( CVE-2021-20023 ) и модифицировали локальные файлы для установки web-оболочек, играющих роль бэкдора ( CVE-2021-20022 ). Как пояснили исследователи, для достижения своих целей злоумышленники использовали эти уязвимости в различных комбинациях.
Атака проходит по следующей схеме: хакеры получают доступ к установкам SonicWall ES и создают новые учетные записи администратора или похищают пароли уже существующих пользователей. Злоумышленники также извлекают из устройств SonicWall ES файлы с данными аккаунтов, в том числе учетные данные Active Directory, использующиеся приложениями для подключения к локальной сети.
На финальном этапе атаки хакеры загружают во встроенный в устройство web-сервер Tomcat Java версию web-оболочки BEHINDER JSP, которую затем используют для запуска команд на операционной системе. Эти команды позволяют злоумышленникам собирать дополнительные подробности об атакуемой корпоративной сети. По словам исследователей, хакеры воспользовались собранными данными, чтобы проникнуть внутрь сети, через несколько дней после их похищения.
SonicWall исправила все три уязвимости 13 апреля 2021 года, но в то время не представила никаких сведений о них. Только 20 апреля компания сообщила , что они уже эксплуатируются в реальных атаках.