SonicWall выпустила патч для 0-day бага, находящего под атаками - «Новости» » Интернет технологии
sitename
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Между Apple и Илоном Маском разгорелся конфликт из-за мобильной спутниковой связи - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Ryzen 9 9950X3D с помощью обычного утюга и лески заставили разогнаться почти до 6 ГГц - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
Билл Гейтс хотел бы превратить Microsoft в ИИ-компанию и заработать миллиарды на «эскизных идеях» - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
«Самое брутальное зрелище в галактике»: новый геймплейный трейлер подтвердил дату выхода безжалостного боевика Kiborg от российских разработчиков - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Найден новый простой способ установки Windows 11 без учётной записи Microsoft - «Новости сети»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Уязвимость нулевого дня в Windows приводит к утечке NTLM-хешей - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Shedding Zmiy использует руткит Puma для атак на российские организации - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Шпионская хак-группа RedCurl создала собственное вымогательское ПО - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
Mozilla предупреждает: Firefox для Windows уязвим перед побегом из песочницы - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
ИБ-специалисты взломали инфраструктуру вымогательской группы BlackLock - «Новости»
Как заработать денег, не выходя из дома, мы вам поможем с этим разобраться » Новости » SonicWall выпустила патч для 0-day бага, находящего под атаками - «Новости»

В конце января 2021 года стало известно, компания SonicWall пострадала в ходе «скоординированной хакерской атаки», использовавшей некую уязвимость в собственных продуктах компании. Вскоре после этого эксперты сообщили, что загадочная уязвимость нулевого дня в сетевых устройствах SonicWall уже находится под «беспорядочным» атаками. При этом аналитики были убеждены, что обнаружили ту самую 0-day уязвимость, при помощи которой взломали саму SonicWall.


На этой неделе компания наконец представила обновление прошивки (10.2.0.5-29sv) для устройств серии SMA 100, которые находились под атаками. Разработчики подчеркивают, что все пользователи  аппаратных решений SMA 200, SMA 210, SMA 400, SMA 410 и виртуальных SMA 500v (Azure, AWS, ESXi, HyperV) должны установить это обновление незамедлительно.


Согласно бюллетеню безопасности, патч устраняет проблемы, позволяющие злоумышленникам получить учетные данные администратора и удаленно выполнить произвольный код на устройствах.


Хотя представители SonicWall по-прежнему не раскрывают почти никаких деталей уязвимости, свет на происходящее пролили эксперты компании NCC Group, ранее обнаружившие атаки на эту уязвимость. Так, в Twitter Олли Уайтхаус и Рич Уоррен (Ollie Whitehouse и Rich Warren) дают советы по обнаружению «обхода аутентификации» на устройстве.


«Трудно объяснить, что именно нужно искать, не слишком все упрощая, как мы видели на примерах F5 и Citrix. В настоящее стоит рассматривать неожиданный доступ к интерфейсу управления как верный показатель компрометации», — писал Уайтхаус.




Рич Уоррен, в свою очередь, пошел даже дальше и перечислил определенные пути, которые могут указывать на успешный обход авторизации в логах SonicWall. По его словам, о компрометации могут свидетельствовать запросы /cgi-bin/management, если их не предваряли успешные запросы к /__api__/v1/logon ил /__api__/v1/logon//authenticate.


Чтобы проверить обход на уровне пользователя через VPN-клиент или интернет, следует искать в логах доступа записи о /cgi-bin/sslvpnclient и /cgi-bin/portal. Если пользователь получил доступ к этим путям без предварительного доступа путям, перечисленным далее, это указывает на обход авторизации. Через VPN-клиент: /cgi-bin/userLogin. Через веб: /__api__/v1/logon (200) и /__api__/v1/logon//authenticate.


То есть приведенные исследователями данные указывают на то, что уязвимость позволяет удаленным атакующим получить доступ к внутренней сети или интерфейсу управления без предварительной аутентификации.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.
Иллюстрация к статье - Яндекс. Картинки.
Есть вопросы. Напишите нам.
Общие правила  поведения на сайте.

В конце января 2021 года стало известно, компания SonicWall пострадала в ходе «скоординированной хакерской атаки», использовавшей некую уязвимость в собственных продуктах компании. Вскоре после этого эксперты сообщили, что загадочная уязвимость нулевого дня в сетевых устройствах SonicWall уже находится под «беспорядочным» атаками. При этом аналитики были убеждены, что обнаружили ту самую 0-day уязвимость, при помощи которой взломали саму SonicWall. На этой неделе компания наконец представила обновление прошивки (10.2.0.5-29sv) для устройств серии SMA 100, которые находились под атаками. Разработчики подчеркивают, что все пользователи аппаратных решений SMA 200, SMA 210, SMA 400, SMA 410 и виртуальных SMA 500v (Azure, AWS, ESXi, HyperV) должны установить это обновление незамедлительно. Согласно бюллетеню безопасности, патч устраняет проблемы, позволяющие злоумышленникам получить учетные данные администратора и удаленно выполнить произвольный код на устройствах. Хотя представители SonicWall по-прежнему не раскрывают почти никаких деталей уязвимости, свет на происходящее пролили эксперты компании NCC Group, ранее обнаружившие атаки на эту уязвимость. Так, в Twitter Олли Уайтхаус и Рич Уоррен (Ollie Whitehouse и Rich Warren) дают советы по обнаружению «обхода аутентификации» на устройстве. «Трудно объяснить, что именно нужно искать, не слишком все упрощая, как мы видели на примерах F5 и Citrix. В настоящее стоит рассматривать неожиданный доступ к интерфейсу управления как верный показатель компрометации», — писал Уайтхаус. It is hard to detail what to look for without making it too easy as we saw with F5 and Citrix. Looking for unexpected management interface access is the indicator at the moment. If you have a way let happy to learn.
CSS
запостил(а)
Macey
Вернуться назад

Смотрите также


А что там на главной? )))



Комментарии )))



Войти через: