首页 云计算 > 内容

SonicWall通过远程访问工具中的零日缺陷被破坏

时间:2021-01-24 01:33:06 来源:

SonicWall周五晚间披露,高度复杂的威胁参与者通过利用公司安全远程访问产品上可能存在的零日漏洞来攻击其内部系统。

总部位于加利福尼亚州米尔皮塔斯的平台安全厂商表示,受损的NetExtender VPN客户端和面向SMB的安全移动访问(SMA)100系列产品用于为员工和用户提供对内部资源的远程访问。据SonicWall称,SMA 1000系列不易受到这种攻击,并利用了与NetExtender不同的客户端。

“我们坚信与客户,合作伙伴和更广泛的网络安全社区保持透明,了解对全球企业和政府的持续攻击,” SonicWall在发布于其产品通知网页的“紧急安全通知”中写道:11东部时间星期五下午15点。该公司表示,“最近”发现了对其系统的协同攻击。

SonicWall拒绝回答有关其内部系统的攻击是否由同一威胁行为者实施的问题,该威胁行为者几个月来一直将恶意代码注入到SolarWinds Orion网络监控工具中。但是,该公司指出,对于那些向政府和企业提供关键基础设施和安全控制措施的公司,网络攻击已“激增”。

该公司表示,正在向其渠道合作伙伴和客户提供缓解建议。根据SonicWall的说法,必须在所有SonicWall SMA,防火墙和MySonicWall帐户上启用多因素身份验证。

SonicWall漏洞中受损的产品包括:用于连接SMA 100系列设备和SonicWall防火墙的NetExtender VPN客户端版本10.x(于2020年发布);以及在SMA 200,SMA 210,SMA 400,SMA 410物理设备和SMA 500v虚拟设备上运行的SonicWall的SMA 10.x版本。

该公司表示,使用SMA 100系列的SonicWall合作伙伴和客户应使用防火墙仅允许从已知/列入白名单的IP到SMA设备的SSL-VPN连接,或者直接在SMA本身上配置白名单访问。

对于使用受感染版本的NetExtender VPN客户端进行SSN-VPN访问的防火墙,合作伙伴和客户应禁用NetExtender对防火墙的访问,或者通过允许其公共IP的允许列表/白名单限制对用户和管理员的访问,根据SonicWall的说法。

SonicWall是过去七周内公开披露攻击事件的第五家纯网络安全厂商。12月8日,FireEye揭开了SolarSods黑客活动的帷幕,当时该公司表示,该攻击在旨在获取其某些政府客户信息的攻击中被破坏。该公司表示,攻击者能够访问FireEye的某些内部系统。

然后CrowdStrike于12月23日披露,微软的威胁情报中心已于八天前与它联系,该中心已确定经销商的Microsoft Azure帐户在几个月前的17小时内对Microsoft云API进行了异常调用, 。

根据Sentonas的说法,转售商的Azure帐户用于管理CrowdStrike的Microsoft Office许可证,并且由于CrowdStrike不使用Office 365电子邮件,黑客未能读取公司的电子邮件。

然后,Mimecast于1月12日宣布,一个复杂的威胁参与者已经破坏了Mimecast颁发的证书,该证书用于向Microsoft 365 Exchange Web服务验证该公司的几种产品。泄露的证书被用来向Microsoft 365认证Mimecast的同步和恢复,连续性监视器和内部电子邮件保护(IEP)产品。

Mimecast拒绝回答CRN有关其违反行为是否由攻击SolarWinds的同一组织进行的问题。但是三名网络安全官员于1月12日告诉路透社,他们怀疑破坏Mimecast的黑客与闯入SolarWinds的组织相同。《华盛顿邮报》报道说,SolarWinds袭击是由俄罗斯外国情报部门实施的。

最近,Malwarebytes周二披露,SolarWinds黑客利用其Office 365租户中的休眠电子邮件生产产品,该产品允许访问公司内部电子邮件的有限子集。Malwarebytes本身并不使用SolarWinds Orion,而是在该公司Office 365租户中的第三方应用程序进行了可疑活动之后,从Microsoft了解到该攻击。

标签: SonicWall