Производитель сетевого оборудования SonicWall выпустил срочное предупреждение для своих клиентов, в котором сообщил о риске атаки вирусов-вымогателей. В компании заявили, что они нацелены на сетевое оборудовании, которое уже не поддерживается, но всё ещё используется некоторыми заказчиками. Речь идёт об уязвимости в продуктах Secure Mobile Access (SMA) серии 100 и Secure Remote Access (SRA) с 8-й версией прошивки.
В свете этого специалисты призывает клиентов как можно скорее обновить прошивку своих устройств, разумеется, если таковая доступна. В SonicWall заявили, что оборудование, срок эксплуатации которого истёк, и для которого нет прошивки 9-й версии, может быть потенциально уязвимым. Если нет возможности оперативно заменить или обновить оборудование, SonicWall рекомендует немедленно отключить такие устройства и сбросить пароли доступа, а также задействовать многофакторную аутентификацию, если она поддерживается.
Список устройств и рекомендаций выглядит так:
- SRA 4600/1600 (поддержка завершилась в 2019 г.) — немедленно отключить и сбросить пароли;
- SRA 4200/1200 (поддержка завершилась в 2016 г.) — то же самое;
- SSL-VPN 200/2000/400 (поддержка завершилась в 2013/2014 г.г.) — то же самое;
- SMA 400/200 (ограниченная поддержка) — обновить прошивку минимум до 9.0.0.10 или 10.2.0.7-34, сбросить пароли, включить многофакторную аутентифиацию;
- SMA 210/410/500v (поддерживаются) — обновить прошивку до 9.x или 10.x.
Отметим, что в конце января 2021 года компания сообщила о взломе. Тогда хакеры использовали «уязвимость нулевого дня» в шлюзах Secure Mobile Access (SMA). Через неделю обнаружилась ещё одна брешь, а в апреле FireEye нашла третью. При этом эксперт безопасности CrowdStrike Хизер Смит (Heather Smith) сообщила, что рекомендация SonicWall относится к уязвимости, подробно описанной в июне.
Злоумышленники используют её для проникновения в корпоративные сети и распространения зловредов Darkside, FiveHands и HelloKitty. Клиентам с устаревшим оборудованием, для которого не будет новых версий прошивок, компания бесплатно предоставит до 31 октября 2021 года лицензию на виртуализированную версию SMA 500v, чтобы упростить миграцию со старых устройств.
