I Firewall SonicWall Nel Mirono! Gli hacker aggirano l’MFA con un exploit critico

Redazione RHC : 22 Febbraio 2025 08:58

Una vulnerabilità critica consente di aggirare l’autenticazione nei firewall SonicWall, identificata come CVE-2024-53704, è ora attivamente sfruttata. Con una valutazione CVSSc3 pari a 9,3 il bug monitorato con il CVE-2024-53704 risiede nel meccanismo di autenticazione SSL VPN di SonicOS, il sistema operativo alla base dei firewall Gen 6, Gen 7 e TZ80 di SonicWall.

Gli aggressori possono dirottare da remoto sessioni VPN attive inviando all’endpoint un cookie di sessione contraffatto contenente una stringa di byte null codificata in base64 /cgi-bin/sslvpnclient.

Al 7 febbraio, oltre 4.500 server SonicWall SSL VPN esposti a Internet sono rimasti senza patch, secondo Bishop Fox. Le versioni firmware interessate includono:

• SonicOS 7.1.x (fino a 7.1.1-7058)
• Versione di SonicOS 7.1.2-7019
• Versione SonicOS 8.0.0-8035

PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’impennata degli attacchi segue la diffusione pubblica del codice exploit proof-of-concept (PoC) del 10 febbraio 2025 da parte dei ricercatori di Bishop Fox. Uno sfruttamento riuscito bypassa l’autenticazione a più fattori (MFA), espone percorsi di rete privati ​​e consente l’accesso non autorizzato alle risorse interne.

Le sessioni compromesse consentono inoltre ai malintenzionati di terminare le connessioni utente legittime. SonicWall ha inizialmente rivelato la falla il 7 gennaio 2025, sollecitando un’immediata patch. All’epoca, il fornitore non ha segnalato alcuna prova di sfruttamento in-the-wild.

Arctic Wolf ha osservato tentativi di sfruttamento provenienti da meno di dieci indirizzi IP distinti, ospitati principalmente su server privati ​​virtuali (VPS). Gli analisti di sicurezza attribuiscono la rapida trasformazione in arma all’impatto critico della vulnerabilità e al fatto che storicamente i dispositivi SonicWall sono stati presi di mira da gruppi ransomware come Akira e Fog.

Il modello di sfruttamento rispecchia le campagne precedenti. Verso la fine del 2024, gli affiliati del ransomware Akira hanno sfruttato account VPN SonicWall compromessi per infiltrarsi nelle reti, spesso crittografando i dati entro poche ore dall’accesso iniziale.

Arctic Wolf avverte che CVE-2024-53704 potrebbe fungere in modo simile da gateway per la distribuzione di ransomware, il furto di credenziali o lo spionaggio.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli