SonicWall با انتشار اطلاعیه‌ای اضطراری از بهره‌جویی (Exploit) مهاجمان از یک آسیب‌پذیری روز-صفر در برخی محصولات این شرکت برای رخنه به سامانه‌های داخلی آن خبر داده است.
SonicWall سازنده تجهیزات دیواره آتش، محصولات موسوم به VPN Gateway و راهکارهای امنیت شبکه است.
به گزارش مرکز مدیریت راهبردی افتا، به نقل از سایت bleepingcomputer، بر اساس اطلاعیه منتشر شده، هکرها با بهره‌جویی از یک آسیب‌پذیری روز-صفر در محصول Secure Mobile Access – به اختصار SMA – در جریان حمله‌ای که این شرکت آن را “پیچیده” (Sophisticated) توصیف کرده اقدام به رخنه به شبکه داخلی SonicWall کرده‌اند.
این شرکت در حال بررسی دستگاه‌های متأثر از آسیب‌پذیری مذکور است. 
Secure Mobile Access (SMA) Version ۱۰.x که بر روی تجهیزات SMA ۲۰۰، SMA ۲۱۰، SMA ۴۰۰ و SMA ۴۱۰ و محصولات مجازی SMA ۵۰۰v اجرا می‌شوند آسیب‌پذیر گزارش شده‌اند.
پیش‌تر NetExtender VPN Client Version ۱۰.x نیز آسیب‌پذیر اعلام شده بود که در ۶ بهمن ماه، SonicWall با به‌روزرسانی اطلاعیه خود آن را از فهرست محصولات متأثر حذف کرد.
SMA دستگاهی فیزیکی است که دسترسی VPN را به شبکه‌های داخلی فراهم می‌کند. NetExtender VPN Client نیز نرم‌افزاری است که برای برقراری ارتباط VPN با دستگاه‌های دیواره آتش مورد استفاده قرار می‌گیرد.
وجود آسیب‌پذیری در سری ۱۰۰ محصول SMA همچنان در حال بررسی است. 
در اطلاعیه SonicWall برخی محصولات این شرکت نیز فاقد آسیب‌پذیری گزارش شده‌اند.
SonicWall اعلام کرده که مشتریان می‌توانند با فعالسازی اصالت‌سنجی چندعاملی (multi-factor authentication – به اختصار MFA) بر روی دستگاه‌های آسیب‌پذیر و محدود کردن دسترسی به نشانی‌های IP مجاز، تجهیزات خود را مقاوم‌سازی کنند. بدین‌منظور مقالات فنی زیر در دسترس است:

• https://www.sonicwall.com/support/knowledge-base/how-can-i-configure-time-based-one-time-password-totp-in-sma-۱۰۰-series/۱۸۰۸۱۸۰۷۱۳۰۱۷۴۵/
• https://www.sonicwall.com/support/knowledge-base/how-to-restrict-access-for-netextender-mobile-connect-users-based-on-policy-for-ip-address/۱۷۰۵۰۲۴۹۹۳۵۰۳۳۷
• https://www.sonicwall.com/support/knowledge-base/how-to-configure-two-factor-authentication-using-totp-for-https-management/۱۹۰۲۰۱۱۵۳۸۴۷۹۳۴
• https://www.sonicwall.com/support/knowledge-base/how-do-i-configure-۲fa-for-ssl-vpn-with-ldap-and-totp/۱۹۰۸۲۹۱۲۳۳۲۹۱۶۹
• https://www.sonicwall.com/techdocs/pdf/۲۳۲-۰۰۵۳۹۸-۰۰_RevA_SMA_۱۰,۲_AdministrationGuide.pdf  صفحات ۱۱۷، ۲۰۷ و ۲۴۸

SonicWall اطلاعات زیادی در خصوص این آسیب‌پذیری روز-صفر منتشر نکرده است. اما بر اساس راهکار ارائه شده به نظر می‌رسد آسیب‌پذیری از وجود باگی در فرایند پیش از اصالت‌سنجی ناشی‌می‌شود که بهره‌جویی از آن به‌صورت از راه دور میسر است.
نکته جالب اینکه سایت BleepingComputer نیز خبر داده که چند روز پیش از انتشار اطلاعیه SonicWall، یک هکر در تماس با این سایت مدعی در اختیار داشتن اطلاعاتی در خصوص وجود یک ضعف امنیتی روز-صفر در محصولات یک سازنده معروف دیواره آتش (بدون ذکر نام آن) شده بوده است. در پیام ارسالی هکر ادعا شده که شرکت سازنده وجود باگ را مسکوت نگاه داشته و از اعلام عمومی آن اجتناب کرده است. تلاش این سایت برای تماس‌های بعدی با آن فرد ناموفق بوده است.
بهره‌جویی از آسیب‌پذیری‌های روز-صفر در VPN روش متداول مهاجمان در رخنه به شبکه سازمان‌ها و هک سیستم‌های آنهاست. در بسیاری از این حملات، به‌محض فراهم شدن دسترسی، مهاجمان دامنه خود را در سطح شبکه قربانی گسترش داده و نسبت به سرقت اطلاعات و در ادامه رمزگذاری فایل‌ها اقدام می‌کنند. از جمله این آسیب‌پذیری‌ها می‌توان به موارد زیر اشاره کرد:

• CVE-۲۰۱۹-۱۱۵۱۰ Pulse VPN
• CVE-۲۰۱۹-۱۹۷۸۱ Citrix NetScaler
• CVE-۲۰۲۰-۵۹۰۲ F۵ BIG-IP

اطلاعیه و مقاله فنی SonicWall در لینک‌های زیر قابل دریافت و مطالعه است:

https://www.sonicwall.com/support/product-notification/urgent-security-notice-netextender-vpn-client-۱۰-x-sma-۱۰۰-series-vulnerability-updated-jan-۲۳-۲۰۲۱/۲۱۰۱۲۲۱۷۳۴۱۵۴۱۰/

https://psirt.global.sonicwall.com/vuln-detail/SNWLID-۲۰۲۱-۰۰۰۱

منبع:

https://www.bleepingcomputer.com/news/security/sonicwall-firewall-maker-hacked-using-zero-day-in-its-vpn-device/