Il Product Security Incident Response Team (PSIRT) di SonicWall ha divulgato ieri un avviso di sicurezza correlato ai prodotti della serie 100 Secure Mobile Access (SMA) e Secure Remote Access (SRA) i cui firmware 8.x non patchati o in EoL (End of Life) rappresenterebbero il target per campagne ransomware ad opera di attori malevoli dotati di credenziali rubate.
L’invito è quello di agire immediatamente attraverso disconnessione degli apparati e reset delle password e contestualmente i clienti di SMA sono invitati ad assicurarsi di utilizzare l’ultima versione del firmware per mitigare le vulnerabilità scoperte all’inizio del 2021. Infatti, poiché lo sfruttamento mira a una vulnerabilità nota, questa stessa è stata corretta nelle versioni più recenti del firmware.
Indice degli argomenti
SonicWall: imminente una campagna ransomware
È grazie alla collaborazione con terze parti fidate, tra cui Mandiant, che l’azienda SonicWall è divenuta consapevole dell’imminente rischio ransomware a mezzo di credenziali rubate, sfruttando prodotti non patchati o a fine vita (Eol).
Nell’avviso di sicurezza divulgato dal sito dell’azienda è consigliato un intervento immediato per le organizzazioni che utilizzano ancora i prodotti con firmware 8.x, ma in generale anche su altri prodotti delle serie successive per interventi di patching. In particolare, l’avviso riguarda:
- i prodotti SMA 100 e la vecchia serie SRA (lista di prodotti SMA e prodotti a fine vita);
- prodotti della serie SMA 1000 che non sono interessati da questo avviso ma per i quali si chiede di verificare la lista dei prodotti in EoL;
- i prodotti SRA e/o SMA serie 100 con firmware 9.x e 10.x per i quali si richiede di seguire le prassi di securioty relative al patching con l’aggiornamento all’ultimo firmware SMA disponibile o l’aggiornamento all’ultimo firmware SRA e abilitare l’autenticazione a più fattori MFA.
SonicWall, allarme ransomware: le vulnerabilità individuate
Secondo il CEO di Coveware, Bill Siegel, la campagna ransomware sarebbe già in corso, mentre SonicWall la definisce imminente: indipendentemente dai tempi, Heather Smith ha indicato come la vulnerabilità presa di mira in questi attacchi sia la CVE-2019-7481, indicata dal NIST come quella vulnerabilità in SonicWall SMA100 che consente all’utente non autenticato di ottenere l’accesso in sola lettura a risorse non autorizzate.
Questa vulnerabilità ha avuto un impatto su SMA100 versione 9.0.0.3 e precedenti ma questa stessa vulnerabilità è stata anche indicata dai ricercatori di CrowdStrike Services che, a giugno 2021, hanno pubblicato un rapporto in cui hanno identificato gli attori di eCrime capaci di sfruttare la VPN SonicWall, CVE-2019-7481, sui dispositivi Secure Remote Access (SRA) 4600.
Gianluca Boccacci, ethical hacker ed esperto di security, Presidente dell’associazione Cyber Actors, sottolinea le criticità nella gestione aziendale del ciclo di vita dei prodotti e del loro patching: “Il lockdown ha aumentato in maniera esponenziale i devices che permettono connessioni remote e questo ha fatto aumentare i pericoli specialmente quando legati a dispositivi vulnerabili che, come in questo caso, permettono un accesso remoto agli attaccati e che potrebbero essere utilizzate dai medesimi per weaponizzare attacchi ransomware”.
“Purtroppo”, continua l’esperto, “molte aziende non hanno policy ristrette di life-cycle management e quindi spesso i devices non vengono aggiornati oppure messi fuori produzione quando oramai completamente EOL. È chiaro che alla base ci sono motivi di budget per non sostituire i dispositivi oramai obsoleti, ma spesso ci sono anche dimenticanze o paure che un aggiornamento non vada a buon fine e che possa creare problemi. Si è spesso giustamente parlato che spesso gli attacchi avvengono sull’endpoint lato client, ma ancora una volta questo ci dimostra che la difesa effettiva deve tenere in considerazione ogni aspetto della infrastruttura aziendale e patchare i device vulnerabili è la prima regola da seguire e doppiamente attivare il MFA ovunque se possibile”.
Come procedere per ripristinare una situazione sicura
Sono consigliate azioni specifiche di disconnessione e cambio password per i prodotti in Eol (SRA 4600/1600 in EoL dal 2019, SRA 4200/1200 in EoL dal 2016, SSL-VPN 200/2000/400 in EoL dal 2013/2014), mentre è richiesto un aggiornamento alle versioni 10.2.0.7-34 o 9.0.0.10, resettando le password e abilitando la Multi Factor Authentication, per SMA 400/200 che ha un supporto limitato.
Invece, per la serie SMA 210/410/500v il firmware 9.x dovrebbe essere aggiornato immediatamente a 9.0.0.10-28sv o successivo, mentre per il firmware 10.x si dovrebbe aggiornare immediatamente a 10.2.0.7-34sv o successivo.
Inoltre, come azioni di mitigazione del rischio, SonicWall apertamente sconsiglia di usare i device in EoL supportando i clienti verso un percorso di percorso di transizione utilizzando un prodotto, lo SMA 500v virtuale gratuito fino al 31 ottobre 2021.
Questo per fornire tempo sufficiente per la transizione a uno degli altri prodotti correntemente manutenuti.
Nell’avviso di sicurezza sono indicate anche le procedure e modalità per dotarsi dei prodotti sostitutivi. Particolare enfasi è data al reset immediato di tutte le credenziali associate al dispositivo SMA o SRA, così come qualsiasi altro dispositivo o sistema che utilizzi le stesse credenziali abilitando anche l’autenticazione a più fattori (MFA).
I consigli per l’approccio verso i vendor
Marco Ramilli, fondatore e CEO di Yoroi, sottolinea come Sonicwall, così come numerosi altri vendor di prodotti appartengano alla così detta supply chain, ovvero l’insieme di organizzazioni che forniscono alle nostre aziende prodotti e servizi.
“Attaccare tali vendor permette ai threat actors di poter ottenere un fattore di scalabilità “1 a N”, ovvero permette loro di raggiungere numerose organizzazioni in un unico colpo. È pertanto consigliabile richiedere ai propri fornitori alti livelli di sicurezza richiedendo testing continui e che certifichino la loro esposizione nell’ambito digitale”, è il consiglio di Ramilli.
Le osservazioni di security in tema VPN
Paolo Passeri, Cyber Intelligence Principal in Netskope e fondatore di Hackmageddon, nota come in occasione dell’avviso di sicurezza diramato da SonicWall per possibili attacchi ransomware si possano notare alcuni elementi che stanno caratterizzando il panorama attuale di sicurezza. Specifica, infatti, che “troppe organizzazioni continuano ad ignorare la regola fondamentale di sicurezza che consiste in una politica efficace di aggiornamento e patching dei sistemi”.
“È preoccupante il fatto che un produttore debba avvisare i propri clienti che stanno ancora utilizzando una versione software dichiarata end-of-life e pertanto non più supportata”, è l’amara considerazione di Passeri.
“Inoltre”, sottolinea ancora, “è significativo come continui la scia di vulnerabilità dei dispositivi VPN che continua ad offrire agli attaccanti una porta di ingresso alle loro vittime privilegiata ed inaspettata. A partire dalla fine del 2020, tutte le principali tecnologie di accesso remoto sono state colpite da gravi vulnerabilità che gli attaccanti continuano a sfruttare e parafrasando la legge di Murphy, si può senza dubbio dire che “Se qualcosa può andare storto, lo farà”, in quanto questa tempesta perfetta è avvenuta proprio in concomitanza della pandemia, quando le organizzazioni si sono appoggiate incondizionatamente alle tecnologie tradizionali di accesso remoto per garantire continuità di business”.
Anche se si comincia a vedere uno spiraglio per la fine della pandemia, questa tendenza non appare affatto in diminuzione in quanto vi è nel mercato criminale un’ampia disponibilità di credenziali VPN ed RDP compromesse (si parla ormai delle figure emergenti di initial access brocker, soggetti criminali che offrono le credenziali compromesse, come prodotto o come servizio, alle bande criminali). Gli attaccanti possono pertanto reperire nel mercato nero le credenziali compromesse, evitando di concentrarsi nella fase di accesso iniziale dell’attacco e riponendo i propri sforzi nella fase di esecuzione.
“Anche per questo motivo”, continua ancora Passeri, “lo sfruttamento di dispositivi di accesso remoto vulnerabili o mal configurati permane ancora tra le cause principali degli attacchi massivi che stanno caratterizzando questo periodo. Non è un caso che anche il recente attacco ransomware REvil a Colonial Pipeline sia stato portato a termine utilizzando credenziali VPN compromesse”.
“E se si pensa che solo i criminali ordinari utilizzino questa tecnica, si commette un grave errore: anche i gruppi sostenuti da potenze ostili sono ormai soliti sfruttare vulnerabilità o errori di configurazione nei dispositivi di accesso remoto, come nel caso del recente attacco all’Istituto Coreano di Ricerca per l’Energia Atomica (KAERI) portato a termine dal gruppo Nord Coreano Kimsuky, ancora una volta, sfruttando una vulnerabilità VPN. Anche per questo motivo, sempre più organizzazioni guardano con interesse a tecnologie di Zero Trust che consentono di non esporre direttamente servizi, evitando l’inserimento on-premise di dispositivi di terminazione VPN potenzialmente vulnerabili, visibili, e pertanto attaccabili, dagli attori ostili”.
