Upozornění na bezpečnost CVE-2024-40766

Rád bych získal více informací o tomhle e-mailu, který právě přišel. Zmiňují SSLVPN, ale uvádí pouze řadu firewallů. Tohle by také mohlo ovlivnit produkty SMA, které TLS VPN také používají?

DŮLEŽITÉ BEZPEČNOSTNÍ OZNÁMENÍ Navazující na bezpečnostní oznámení produktu z minulého týdne (CVE-2024-40766), SonicWall informuje zákazníky používající firewally GEN5 a GEN6 s místními SSLVPN uživatelskými účty, aby aktualizovali svá hesla pro zvýšení bezpečnosti a zabránili neoprávněnému přístupu. Správci mohou vynutit změnu hesla uživatelů povolením možnosti „Uživatel musí změnit heslo“ u každého místního účtu, aby byla zajištěna tato kritická bezpečnostní opatření.

• Pro firewally GEN5: Přejděte na Uživatelé > Místní uživatelé. Podrobnosti najdete na stranách 1340 a 1341 Průvodce správce SonicOS 5.9, s názvem “Správa uživatelů a ověřovacích nastavení.” Zdroj: Průvodce správce SonicOS 5.9 • Pro firewally GEN6: Přejděte do MANAGEMENT | Nastavení systému > Uživatelé > Místní uživatelé a skupiny. Podrobnosti najdete na stranách 227 a 228 Průvodce správce systému SonicOS 6.5, s názvem “Konfigurace místních uživatelských nastavení.”

Zdroj: Průvodce správce systému SonicOS 6.5

Děkujeme za vaši pozornost k tomuto důležitému bezpečnostnímu tématu.

DŮLEŽITÉ: V souladu s osvědčenými průmyslovými praktikami SonicWall neposkytuje podporu (např. technickou podporu, aktualizace firmware, výměnu hardwaru) produktům, které dosáhly stavu End-of-Support (EOS). Viz tabulka životního cyklu produktů SonicWall více informací.

Toto je od našeho služby Sophos MDR:

Dne 22. srpna 2024 Sonicwall zveřejnil informace o zranitelnosti v jejich produktech SSLVPN. Tato zranitelnost by mohla umožnit útočníkům získat neoprávněný přístup k účtům na zařízení Sonicwall SSLVPN, stejně jako potenciálně způsobit pád zařízení. Opravy byly dostupné spolu s oznámením.

Od zveřejnění podrobností o zranitelnosti Sonicwall aktualizoval své bezpečnostní upozornění 28. srpna [1] s novými pokyny, které naznačují, že místní účty na zařízení Sonicwall SSLVPN by měly mít hesla resetována (kromě aplikace dostupné záplaty). Také zvýšili skóre CVSS z 8.6 na původním upozornění na 9.3 v upravené verzi. Zranitelnost je sledována jako CVE-2024-40766.

Zprávy o aktivním zneužívání této zranitelnosti skupinou ransomware Akira začaly kolovat na sociálních sítích [2]. Sophos nyní může potvrdit zprávy na sociálních médiích o zneužívání této zranitelnosti kriminalními aktéry naživu. Apelujeme na organizace používající tato zařízení, aby co nejdříve dodržovaly pokyny v poradě Sonicwall.

Pět nejčastějších nástrojů využívaných ve všech zaznamenaných incidentech Akira zahrnuje: AnyDesk, WinRAR, Advanced IP Scanner, PsExec a WinSCP. Tyto nástroje se často označují jako dvousměrní agenti a měly by být blokovány, pokud nejsou oprávněně používány vaší organizací. Není to specifické pro nejnovější kampaň, ale historické případy zdokumentované MDR byly nejintenzivnější v Americe, Evropě a Austrálii, nejčastěji ovlivňující výrobní, technologický, maloobchodní a poradenský sektor. Navíc nedávno MDR zaznamenal cílení aktérů Akira na nechráněné servery ESXi a společnost Sophos zveřejnila průvodce osvědčenými postupy [3], který pomáhá s bezpečnou konfigurací.

// Co byste měli udělat

Organizace používající tato zařízení by měly co nejdříve postupovat podle oficiálních pokynů Sonicwall.

Ochranné verze SonicOS jsou:

• SOHO (Gen 5) - 5.9.2.14-12o a starší verze
• Firewally Gen6 - 6.5.4.14-109n a starší verze
• Firewally Gen7 - 7.0.1-5035 a starší verze

// Co dělá tým Sophos MDR (Managed Detection and Response)

Tým MDR bude i nadále aktivně sledovat známky post-exploitace související se SVND produktů Sonicwall SSLVPN. Okamžitě vás upozorníme, pokud bude zaznamenáno jakékoliv podezřelé nebo škodlivé chování ve vašem prostředí.

// Reference

…viz můj níže uvedený odpověď… Nemůžu sem přidat odkazy. Error serveru stále vrací."},{

Je to tak jasné jako bláto.

Co má ochrana přístupu k firewallu pouze důvěryhodným zdrojům společného s nutností měnit hesla pro místní uživatele SSLVPN? Vždy jsme omezili správu na důvěryhodné IP, takže si myslím, že riziko je minimální, nebo je? Jakékoli další informace by byly oceněny.

Na SMA nejsou žádné nové aktualizace. Musí to být pouze záležitost firewallu.

Doufám, že brzy vypustí úplnější popis. Je velmi nejisté, co se momentálně děje s NSA firewally. Po prvním oznámení týkajícím se wan správy jsem měl pocit klidu, ale toto poslední oznámení přidává víc otázek než odpovědí.

Také se ptám, proč říkají, že je potřeba změnit hesla pro místní uživatele SSL VPN.
Cítím, že jejich komunikace neposkytuje dostatek podrobností.

Upřímně, měli byste to dokonce změnit i pro Gen7. Pravděpodobně lhají a chtějí, aby lidé upgradovali na novější modely.

Co když SSLVPN nepoužíváte? Dobré je to aktualizovat hned teď nebo počkat na další okno údržby? Nebo je lepší to udělat hned nyní?

Hádam, ale není si jistý, že to byla cesta, kterou FOG použil k získání přístupu do mé sítě. Všechny počítače byly zašifrovány a VM smazány. Díky SonicWallu.

Máte někdo tento problém? Mám SOHO v5 s verzí firmwaru 5.9.2.14-13o. Přesto zařízení a SonicWall stále ukazují, že je nutné aktualizovat kvůli CVE-2024-40766. Co se děje? Není dostupná žádná jiná verze firmwaru ke stažení, a když jsem na stránce My SonicWall, říká, že je zařízení aktuální??? Oznámení říká, že verze 5.9.2.14-12o a starší je třeba aktualizovat. Ale už nejsem v tom stavu, takže… Pomoc? Díky.

u/SymBux;

Já jsem taky dostal e-mail(y) dnes (jako jistě MNOHO dalších) … první [1] jsem dostal do svého Outlooku dnes, ve čtvrtek 20.08.2024, ve 16:29 ET, a druhý [1] jsem dostal do své schránky v 16:35 ET. Mohu jen předpokládat, že jsem dostal DVA [2] přesně stejné e-maily, minuty od sebe, [pravděpodobně] kvůli tomu, že z mého seznamu zaregistrovaných zařízení SonicWall na mém účtu MySonicWall.com (i když je to spojeno s firemní identitou, ve které pracuji), je TO důvod, proč jsem obdržel DVA [2] stejné e-maily, jen o několik minut později.

JAKO_NE … skutečný důvod, proč odpovídám na tvůj příspěvek, NENÍ (bohužel) poskytnout nějakou odpověď nebo pohled na tvou otázku; místo toho je skutečným důvodem, že chci poukázat na to, že v budoucnu, pokud/ když budeš vytvářet příspěvek týkající se konkrétní CVE (nebo jen konkrétní webové stránky obecně), měl bys zajištění, že do svého příspěvku vložíš odkaz na konkrétní web, na který se odkazuje…

Jelikož nemůžeš přiložit skutečný e-mail, který jsi dostal, mohl jsi vložit odkaz ke sdílení celého textu (který bys zkopíroval a vložil) z celého e-mailu pomocí PasteBin (i když Ti dávám velké zásluhy za přepsání celého obsahu e-mailu – tímto za to dávám palec nahoru). Další možností by bylo nahrát screenshot emailu, upravit jej o osobní údaje, nahrát na Imgur a sdílet odkaz.

Ale ZÁSADNĚ, a nejméně co mohl udělat, je vložení odkazu na CVE, který je v první větě e-mailu, ještě před prvním čárkou, a je dostupný na CVE-2024-40766.

Není to v žádném případě útok, jen se snažím být nápomocný + informativní a doufám, že v budoucnu budou i ostatní poskytovat takovéto odkazy.

Děkuji za sdílení informací – jistě je mnoho, kteří dostávají SonicWall e-maily, upozornění, oznámení, a tímto i zvyšujeme povědomí. Pokud ne, tak si myslím, že je dobré, že ostatní vědí o CVE a ví, jaké kroky SonicWall doporučuje, když mají zařízení řady gen5/gen6 s funkcí SSLVPN.

K odpovědi na vaši hlavní otázku/obavy – nechám jiné, ať odpoví, pokud mohou. V naší společnosti používáme většinou SMA pro SSLVPN, máme několik zákazníků, kteří mají přístup skrze místní zařízení SonicWall, ale ta jsou jejich rozhodnutí. Postaráme se o zabezpečení jejich účtů co nejlépe, a ostatní mají přístup přes SMA. Protože SMA produkt (SonicWall SMA) není konkrétně součástí CVE, myslím, že je to v pořádku, i když je nejlepší kontaktovat podporu SonicWall (nebo alespoň zkusit). Naše SMA je gen7, takže mám klid.

Hodně štěstí – doufám, že moje “krátký román” byl trochu užitečný