NCSC ønsker å minne virksomheter med SonicWall SMA og SRA-produkter om viktigheten av å oppdatere og fase ut sårbare end-of-life-produkter. Det er observert at ulike aktører utnytter sårbare SonicWall-produkter til å kompromittere virksomheter, sannsynligvis med intensjon om å plante løsepengevirus. SonicWall har nylig publisert en advisory der de påpeker viktigheten av å oppdatere [1].

NCSC anbefaler spesielt virksomheter med følgende SonicWall SMA og SRA-produkter om verifisere at de har installert siste sikkerhetsoppdatering og iverksatt nødvendige tiltak.

 - - End-of-life SonicWall SMA og/eller SRA-produkter med  8.x firmware [1]

- - SonicWall SMA100 med 10.x firmware som ikke er patchet for CVE-2021-20016 (CVSSv3 9.8) [2]

- -- Physical Appliances: SMA 200, SMA 210, SMA 400, SMA 410

- -- Virtual Appliances: SMA 500v (Azure, AWS, ESXi, HyperV)

- -- Fixed Software 10.2.0.5-d-29sv

Se vedlagte ressurser for en komplett liste over berørte SMA/SRA-produkter og anbefalte tiltak [1,2,3].

NCSC har informasjon om at spesielt CVE-2021-20016, som ble adressert og patchet av SonicWall i februar, utnyttes in-the-wild av ulike ransomware-aktører. NCSC anbefaler at virksomheter med berørte og sårbare SonicWall-produkter umiddelbart iverksetter tiltak [1]:

    - Patching av sårbare systemer

    - Vurder passordbytte på brukerkontoer assosisert med de sårbare produktene

    - Etabler tofaktorautentisering (2FA) for alle brukere

    - Undersøk om det har vært mistenkelig aktivitet tilknyttet berørte brukerkontoer

Referanser:

[1] https://www.sonicwall.com/support/product-notification/urgent-security-notice-critical-risk-to-unpatched-end-of-life-sra-sma-8-x-remote-access-devices/210713105333210/

[2] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

[3] https://us-cert.cisa.gov/ncas/current-activity/2021/07/15/ransomware-risk-unpatched-eol-sonicwall-sra-and-sma-8x-products