Il fornitore di soluzioni di sicurezza SonicWall è l’ultima vittima di un sofisticato attacco informatico, l’azienda ha rivelato l’incidente lo scorso venerdì.

Secondo gli esperti di SonicWall, is sistemi dell’azienda sono stati presi di mira da un attacco coordinato, secondo le prime rivelazioni emerse da una prima investigazione, gli attaccanti hanno sfruttato delle vulnerabilità zero-day nelle loro soluzioni VPN dell’azienda, come NetExtender VPN client versione 10.x e Secure Mobile Access (SMA).

Una falla zero-day è una vulnerabilità non nota pubblicamente al momento dell’attacco, circostanza che fornisce all’attaccante un vantaggio importante ed una elevata probabilità di successo.

Nella maggior parte dei casi investigati in letteratura, attaccanti in grado di sfruttare vulnerabilità zero-day hanno elevate capacità, spesso ci si trova dinanzi ad attaccanti avanzati e persistenti, noti anche APT, che operano per conto di governi.

 

Secondo il sito The Hacker News che per primo ha riportato la notizia, i sistemi interni di SonicWall non erano disponibili dallo scorso martedì, inoltre sempre secondo il popolare portale di sicurezza informatica gli attaccanti avrebbero avuto accesso al codice sorgente ospitato sul repository GitLab dell’azienda. Quest’ultima affermazione, se confermata, potrebbe avere serie ripercussioni per il clienti in quanto gli attaccanti potrebbero analizzare il codice per trovare falle che consentano loro di bypassare le misure di sicurezza dell’azienda installate presso i suoi clienti.

SonicWall ha immediatamente avviato un’indagine sull’incidente ed ha annunciato che fornrà ulteriori aggiornamenti man mano che emergeranno ulteriori informazioni dall’investigazione.

Di seguito l’elenco dei prodotti impattati:

• NetExtender VPN client versione 10.x (rilasciata nel 2020) utilizzata per connettersi alle appliance della serie SMA 100 e ai firewall SonicWall
• Secure Mobile Access (SMA) versione 10.x in esecuzione su dispositivi fisici SMA 200, SMA 210, SMA 400, SMA 410 e l’appliance virtuale SMA 500v.

SonicWall ha pubblicato un avviso urgente di sicurezza per la presenza di falle nei i prodotti NetExtender VPN Client 10.X, e prodotti SMA 100, inoltre ha fornito ai clienti una serie di raccomandazioni per mettersi al riparo da attacchi che sfruttano proprio le vulnerabilità prese di mira nei recenti attacchi.

“Di recente, SonicWall ha identificato un attacco coordinato ai propri sistemi interni da parte di autori di minacce altamente sofisticati che sfruttano probabili vulnerabilità zero-day presenti in alcuni prodotti per l’accesso remoto sicuro. I prodotti interessati sono:

• NetExtender VPN client versione 10.x (rilasciata nel 2020) utilizzata per connettersi alle appliance della serie SMA 100 e ai firewall SonicWall
• Secure Mobile Access (SMA) versione 10.x in esecuzione su dispositivi fisici SMA 200, SMA 210, SMA 400, SMA 410 e l’appliance virtuale SMA 500v

Il client VPN NetExtender e la serie SMA 100 orientata alle PMI vengono utilizzati per fornire ai dipendenti / utenti l’accesso remoto alle risorse interne. La serie SMA 1000 non è soggetta a questa vulnerabilità ed utilizza client diversi da NetExtender.” afferma l’avviso di sicurezza urgente pubblicato dal fornitore di sicurezza.

 

PER LA SERIE SMA 100, il fornitore consiglia di utilizzare un firewall per consentire solo le connessioni SSL-VPN all’appliance SMA da IP noti / inseriti nella whitelist o configurare l’accesso alla whitelist direttamente sulla SMA stessa.

PER FIREWALL CON ACCESSO SSL-VPN TRAMITE CLIENT VPN NETEXTENDER, l’azienda di sicurezza consiglia alle organizzazioni che utilizzano la VERSIONE 10.X di disabilitare l’accesso NetExtender ai firewall o limitare l’accesso a utenti e amministratori tramite un elenco di autorizzazioni / whitelist per i loro IP pubblici.

SonicWall consiglia inoltre di abilitare l’autenticazione a più fattori su tutti gli account SONICWALL SMA, Firewall e MYSONICWALL.

Questo incidente potrebbe potenzialmente avere un impatto significativo su più organizzazioni che utilizzano i prodotti di cui sopra.

L’attacco a SonicWall è solo l’ultimo incidente in ordine di tempo che ha colpito un fornitore di sicurezza informatica. Pochi giorni fa l’azienda produttrice di soluzioni anti-malware MalwareBytes ha rivelato di essere stato colpito dagli stessi attaccanti che compromettendo la supply chain nel software SolarWinds hanno infettato aziende in tutto il mondo, compreso diverse agenzie governative americane.

Sempre di recente, le aziende FireEye, Microsoft e Crowdstrike hanno confermato di esser state impattate dall’attacco al software SolarWinds.

Attacchi alla aziende sono estremamente preoccupanti perché le loro soluzioni sono l’unico baluardo a difesa delle nostre aziende ed organizzazioni, la compromissione di questi sistemi può esporre i clienti a sofisticati attacchi che potrebbero avere conseguenze devastanti.

 

Aggiornamento 25 Gennaio, 2021

SonicWall ha fornito un aggiornamento in queste ore, i seguenti prodotti non risultano affetti dalla vulnerabilità:

• SonicWall Firewalls
• NetExtender VPN Client
• SMA 1000 Series
• SonicWall SonicWave APs

Mentre sono ancora sotto investigazioni i seguenti prodotti:

• SMA 100 Series