SonicWall, kullanıcılarına aktif olarak istismar edilen 3 zeroday güvenlik açığını barındıran ve şirket içi e-posta güvenlik ürünlerini güncellemesi konusunda uyarıda bulundu.

SonicWall e-posta güvenlik sağlayıcısı ürünün barındırmış olduğu zafiyetler şu şekildedir;

• CVE-2021-20021 (CVSS puanı: 9,4): E-posta güvenliği ön kimlik doğrulaması yönetici hesabı oluşturabilmektedir. SonicWall E-Posta Güvenliği 10.0.9.x sürümündeki güvenlik açığı, saldırganın uzak ana bilgisayara hazırlanmış bir HTTP isteği göndererek bir yönetici hesabı oluşturmasına olanak tanır.
• CVE-2021-20022 (CVSS puanı: 6,7): E-posta güvenliği kimlik doğrulaması sonrası rasgele dosya oluşturma sağlar. SonicWall E-posta Güvenliği sürüm 10.0.9.x, kimlik doğrulaması yapılmış bir saldırganın uzak ana bilgisayara rastgele bir dosya yüklemesine olanak tanıyan bir güvenlik açığı içerir.
• CVE-2021-20023 (CVSS puanı: 6.7) : E-posta güvenliği kimlik doğrulaması sonrası rasgele dosya okuma yapmasına olanak tanımaktadır. SonicWall E-posta Güvenliği sürüm 10.0.9.x, kimlik doğrulaması sonrası bir saldırganın uzak ana bilgisayardaki rasgele bir dosyayı okumasına olanak tanıyan bir güvenlik açığı içermektedir.

 

Yukarıda açıklamış olduğumuz zafiyetleri FireEye’ın Mandiant ekibi tarafından keşfedilmiştir. Mandiant ekibi 26 Mart 2021’de Windows Server 2021’de çalışan SonicWall’ın E-posta Güvenliği (ES) uygulamasının bir örneğini kullanarak müşterilerinden birine yapılan araştırma sonucunda keşfettiğini açıkladı.

Mandiant ekibinin yapmış olduğu açıklama “”Mart 2021’de, Mandiant Managed Defense olarak, SonicWall’un E-posta Güvenliği (ES) ürününde çalışan bir ortamda istismar edilen üç ZeroDay güvenlik açığını tespit ettik. Bu güvenlik açıkları, bir SonicWall ES cihazında yönetim erişimi ve kod yürütme elde etmek için birlikte yürütüldü. Saldırganlar, bir arka kapı kurarak dosyalara ve e-postalara erişmek, kurban kuruluşun ağına yanal olarak geçmek için SonicWall uygulamasına ilişkin derinlemesine bilgi sahibi olarak bu güvenlik açıklarından yararlandığını tespit ettik.” şeklindedir.

FireEye, şimdilik saldırganları önceden bilinen herhangi bir APT grubuna kesin olarak bağlayamadı, bu nedenle tehdit aktörü UNC2682 olarak belirlendi.UNC “kategorize edilmemiş” anlamına gelmektedir. Şirket, bilgisayar korsanlarının SonicWall ürününün nasıl çalıştığına dair “samimi bilgiye” sahip göründüklerini kaydetti.

 

ETKİLENEN SÜRÜM	Güncellenen Sürüm	PSIRT ADVISORY ID	CVE Listeleri
Email Security (ES) 10.0.4-PresentEmail Security 10.0.3Email Security 10.0.2Email Security 10.0.1	Email Security 10.0.9.6173 (Windows)	SNWLID-2021-0007SNWLID-2021-0008SNWLID-2021-0010	CVE-2021-20021CVE-2021-20022CVE-2021-20023
Email Security (ES) 10.0.4-PresentEmail Security 10.0.3Email Security 10.0.2Email Security 10.0.1	Email Security 10.0.9.6177 (Hardware & ESXi Virtual Appliance)	SNWLID-2021-0007SNWLID-2021-0008SNWLID-2021-0010	CVE-2021-20021CVE-2021-20022CVE-2021-20023
Hosted Email Security (HES) 10.0.4-PresentHosted Email Security 10.0.3Hosted Email Security 10.0.2Hosted Email Security 10.0.1	Hosted Email Security 10.0.9.6173 (Patched Automatically)	SNWLID-2021-0007SNWLID-2021-0008SNWLID-2021-0010	CVE-2021-20021CVE-2021-20022CVE-2021-20023

 

Kaynak:
SonicWall

---