ช่องโหว่ SSLVPN access control ใน SonicWall กำลังถูกนำมาใช้ในการโจมตี

SonicWall ออกมาแจ้งเตือนว่าช่องโหว่ access control ใน SonicOS กำลังถูกนำไปใช้ในการโจมตี โดย SonicWall มีการออกแพตช์แก้ไขช่องโหว่ไปแล้วก่อนหน้านี้ ซึ่งช่องโหว่ดังกล่าวมีหมายเลข CVE-2024-40766 จึงแนะนำให้ผู้ดูแลระบบอัปเดตแพตช์โดยเร็วที่สุด

ช่องโหว่นี้มีแนวโน้มว่าจะกำลังถูกนำไปใช้ในการโจมตีหลายแห่ง ผู้ดูแลระบบควรดำเนินการอัปเดตแพตช์โดยเร็วที่สุดสำหรับผลิตภัณฑ์ที่ได้รับผลกระทบ โดยสามารถดาวน์โหลดแพตช์เวอร์ชั่นล่าสุดได้จาก mysonicwall.com ในส่วนของ warns the updated SonicWall advisory

CVE-2024-40766 (คะแนน CVSS v3: 9.3) ความรุนแรงระดับ critical เป็นช่องโหว่ access control ที่ส่งผลกระทบต่ออุปกรณ์ SonicWall Firewall Gen 5 และ Gen 6 รวมถึงอุปกรณ์ Gen 7

ทาง SonicWall ยังไม่ได้เปิดเผยข้อมูลรายละเอียดเกี่ยวกับช่องโหว่นี้ ซึ่งมีความเสี่ยงทำให้สามารถถูกเข้าถึงระบบโดยไม่ได้รับอนุญาต และความเสี่ยงที่อาจทำให้ไฟร์วอลล์หยุดการทำงาน ส่งผลให้ไม่สามารถทำงานบนเครือข่ายต่อไปได้

ทาง SonicWall ออกมาเปิดเผยถึงช่องโหว่นี้เป็นครั้งแรก เมื่อวันที่ 22 สิงหาคม 2024 โดยระบุว่าช่องโหว่นี้อยู่ในส่วน SonicWall SonicOS management access เท่านั้น และการอัปเดตในครั้งนี้ทาง SonicWall ได้ระบุว่าช่องโหว่ CVE-2024-40766 ส่งผลกระทบต่อฟีเจอร์ SSLVPN ของไฟร์วอลล์ด้วย

ติดตั้ง และอัปเดตแพตช์โดยเร็วที่สุด

รายชื่อผลิตภัณฑ์ และเวอร์ชันที่ได้รับผลกระทบ รวมถึงรุ่นที่ได้รับการแก้ไขช่องโหว่ CVE-2024-40766 มีดังนี้

  • SonicWall Gen 5 ที่ใช้ SonicOS เวอร์ชัน 5.9.2.14-12o และเวอร์ชันก่อนหน้า มีการแก้ไขไปแล้วใน SonicOS เวอร์ชัน 5.9.2.14-13o
  • SonicWall Gen 6 ที่ใช้ SonicOS เวอร์ชัน 6.5.4.14-109n และเวอร์ชันก่อนหน้า มีการแก้ไขไปแล้วใน 6.5.2.8-2n (สำหรับ SM9800, NSsp 12400, NSsp 12800) และเวอร์ชัน 6.5.4.15-116n (สำหรับไฟร์วอลล์ Gen 6 อื่น ๆ)
  • SonicWall Gen 7 ที่ใช้ SonicOS เวอร์ชัน 7.0.1-5035 และเวอร์ชันก่อนหน้า แนะนำให้อัปเดตให้เป็นเวอร์ชันล่าสุด

คำแนะนำในการลดผลกระทบจาก SonicWall

1. Limit firewall management เฉพาะกับต้นทางที่เชื่อถือได้ และปิดการเข้าถึงจากอินเทอร์เน็ตไปยัง WAN management portal หากเป็นไปได้
2. จำกัดการเข้าถึง SSLVPN ให้เฉพาะกับต้นทางที่เชื่อถือได้เท่านั้น และปิดการใช้งานที่ไม่จำเป็นทั้งหมด
3. สำหรับอุปกรณ์ Gen 5 และ Gen 6 ผู้ใช้ SSLVPN ที่มีบัญชีภายในเครื่องควรอัปเดตรหัสผ่านทันที และผู้ดูแลระบบควรเปิดใช้งาน User must change password สำหรับผู้ใช้ภายในเครื่อง
4. เปิดใช้งาน multi-factor authentication (MFA) สำหรับผู้ใช้งาน SSLVPN ทั้งหมด โดยใช้ TOTP หรือรหัสผ่านชั่วคราวที่ส่งทางอีเมล (OTP)

แม้ว่า SonicWall จะไม่ได้เปิดเผยวิธีการโจมตีช่องโหว่ดังกล่าวอย่างจริงจัง แต่ช่องโหว่ที่คล้ายกันนี้เคยถูกใช้โจมตีในอดีตเพื่อเข้าถึงเครือข่ายภายในองค์กร

ในเดือนมีนาคม 2023 แฮ็กเกอร์ชาวจีน (UNC4540) ได้มุ่งเป้าหมายไปยังอุปกรณ์ SonicWall Secure Mobile Access (SMA) ที่ยังไม่ได้รับการแพตช์ เพื่อติดตั้งมัลแวร์ที่สร้างขึ้นมาพิเศษ ซึ่งมัลแวร์ดังกล่าวจะยังคงอยู่แม้ว่าจะมีการอัปเกรดเฟิร์มแวร์แล้วก็ตาม

อัปเดต: เมื่อวันที่ 9 กันยายน 2024 ตามรายงานของ Arctic Wolf พบแรนซัมแวร์ Akira เป็นหนึ่งในผู้โจมตีที่ใช้ช่องโหว่ CVE-2024-40766 ในการโจมตี

ที่มา : bleepingcomputer