Vedrørende aktiv utnyttelse av sårbare SonicWall SRA/SMA-produkter
NCSC ønsker å minne virksomheter med SonicWall SMA og SRA-produkter om viktigheten av å oppdatere og fase ut sårbare end-of-life-produkter. Det er observert at ulike aktører utnytter sårbare SonicWall-produkter til å kompromittere virksomheter, sannsynligvis med intensjon om å plante løsepengevirus. SonicWall har nylig publisert en advisory der de påpeker viktigheten av å oppdatere [1].
NCSC anbefaler spesielt virksomheter med følgende SonicWall SMA og SRA-produkter om verifisere at de har installert siste sikkerhetsoppdatering og iverksatt nødvendige tiltak.
- - End-of-life SonicWall SMA og/eller SRA-produkter med 8.x firmware [1]
- - SonicWall SMA100 med 10.x firmware som ikke er patchet for CVE-2021-20016 (CVSSv3 9.8) [2]
- -- Physical Appliances: SMA 200, SMA 210, SMA 400, SMA 410
- -- Virtual Appliances: SMA 500v (Azure, AWS, ESXi, HyperV)
- -- Fixed Software 10.2.0.5-d-29sv
Se vedlagte ressurser for en komplett liste over berørte SMA/SRA-produkter og anbefalte tiltak [1,2,3].
NCSC har informasjon om at spesielt CVE-2021-20016, som ble adressert og patchet av SonicWall i februar, utnyttes in-the-wild av ulike ransomware-aktører. NCSC anbefaler at virksomheter med berørte og sårbare SonicWall-produkter umiddelbart iverksetter tiltak [1]:
- Patching av sårbare systemer
- Vurder passordbytte på brukerkontoer assosisert med de sårbare produktene
- Etabler tofaktorautentisering (2FA) for alle brukere
- Undersøk om det har vært mistenkelig aktivitet tilknyttet berørte brukerkontoer
Referanser:
[2] https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001