Legacy SonicWall kit exploité dans la campagne de rançon

Le spécialiste de la sécurité réseau SonicWall a dit aux utilisateurs de deux produits hérités exécutant des micrologiciels non corrigés et en fin de vie de prendre des mesures immédiates et urgentes pour entendre une campagne de ransomware « imminente ».

Les produits concernés sont la série Secure Mobile Access (SMA) 100 de SonicWall et l’accès à distance sécurisé (SRA) exécutant la version 8.x du firmware concerné. Les acteurs de la menace derrière la campagne utilisent des informations d’identification volées et exploitent une vulnérabilité connue qui a été corrigée dans les versions plus récentes.

« Les organisations qui ne prennent pas les mesures appropriées pour atténuer ces vulnérabilités sur leurs produits des séries SRA et SMA 100 sont exposées à un risque imminent d’attaque de ransomware ciblée », a déclaré SonicWall dans un avis de divulgation. « Les appareils en fin de vie affectés avec le firmware 8.x ont dépassé les atténuations temporaires. L’utilisation continue de ce micrologiciel ou de ces appareils en fin de vie constitue un risque actif pour la sécurité.

Les utilisateurs de SonicWall SRA 4600/1600, SRA 4200/1200 et SSL-VPN 200/2000/400, qui sont tous entrés en fin de vie au cours des dernières années, doivent déconnecter leurs appareils immédiatement et réinitialiser leurs mots de passe car aucune solution n’est à venir.

Ceux qui utilisent SMA 400/200, qui est toujours pris en charge en mode de retrait limité, doivent mettre à jour vers la version 10.2.0.7-34 ou 9.0.0.10 immédiatement, réinitialiser les mots de passe et activer l’authentification multifacteur (MFA)

En outre, ceux qui exécutent SMA 210/410/500v avec les versions de microprogramme 9.x et 10.x doivent mettre à jour vers 9.0.0.10-28sv ou version ultérieure, et 10.2.0.7-34sv ou version ultérieure.

Pour les appareils qui ont dépassé le point où l’atténuation est possible, SonicWall propose un SMA 500v virtuel gratuit jusqu’au 31 octobre de cette année, pour donner aux clients le temps de passer à un produit pris en charge.

Hitesh Sheth, président et chef de la direction de Vectra AI, a déclaré: « Donnez du crédit à SonicWall ici, mais le monde numérique regorge de ce type de vulnérabilités. La plupart ne sont pas catalogués. Et nous ne les exécuterons jamais tous de cette façon, car l’infrastructure est si dynamique et les vecteurs d’attaque se multiplient naturellement.

« Cette dure vérité signifie que nous allons gagner cette bataille – et elle sera gagnée – en travaillant à l’intérieur de systèmes ciblés. Lorsque les violations sont statistiquement inévitables, seule une détection impitoyable et rapide des violations d’écarte les dommages graves.

Ian Porteous, directeur régional de l’ingénierie de sécurité de Check Point pour le Royaume-Uni et l’Irlande, a ajouté: « Cela s’aligne sur une tendance récente d’attaques de ransomware et nous montre à nouveau que les acteurs de la cybercriminalité derrière ces attaques de ransomware sont très agiles, toujours à la recherche de nouvelles astuces et techniques qui leur permettront d’exécuter leurs actes malveillants. »

L’identité des acteurs de la menace derrière la campagne ransomware n’a pas été divulgué. SonicWall a travaillé avec l’équipe de recherche sur les menaces de Mandiant sur sa réponse à la vulnérabilité.