I Firewall SonicWall Nel Mirono! Gli hacker aggirano l’MFA con un exploit critico

Redazione RHC : 22 Febbraio 2025 08:58

Una vulnerabilità critica consente di aggirare l’autenticazione nei firewall SonicWall, identificata come CVE-2024-53704, è ora attivamente sfruttata. Con una valutazione CVSSc3 pari a 9,3 il bug monitorato con il CVE-2024-53704 risiede nel meccanismo di autenticazione SSL VPN di SonicOS, il sistema operativo alla base dei firewall Gen 6, Gen 7 e TZ80 di SonicWall.

Gli aggressori possono dirottare da remoto sessioni VPN attive inviando all’endpoint un cookie di sessione contraffatto contenente una stringa di byte null codificata in base64 /cgi-bin/sslvpnclient.

Al 7 febbraio, oltre 4.500 server SonicWall SSL VPN esposti a Internet sono rimasti senza patch, secondo Bishop Fox. Le versioni firmware interessate includono:

• SonicOS 7.1.x (fino a 7.1.1-7058)
• Versione di SonicOS 7.1.2-7019
• Versione SonicOS 8.0.0-8035

Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi (o persone di qualsiasi età) alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

Creare Un Sistema Ai Di Visual Object Tracking (Hands on)

Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake

Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?

Come Hackerare Un Sito WordPress (Hands on)

Il Cyberbullismo Tra Virtuale E Reale

Come Entrare Nel Dark Web In Sicurezza (Hands on)

Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765

Supporta RHC attraverso:

• L'acquisto del fumetto sul Cybersecurity Awareness
• Ascoltando i nostri Podcast
• Seguendo RHC su WhatsApp
• Seguendo RHC su Telegram
• Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab

Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

L’impennata degli attacchi segue la diffusione pubblica del codice exploit proof-of-concept (PoC) del 10 febbraio 2025 da parte dei ricercatori di Bishop Fox. Uno sfruttamento riuscito bypassa l’autenticazione a più fattori (MFA), espone percorsi di rete privati ​​e consente l’accesso non autorizzato alle risorse interne.

Le sessioni compromesse consentono inoltre ai malintenzionati di terminare le connessioni utente legittime. SonicWall ha inizialmente rivelato la falla il 7 gennaio 2025, sollecitando un’immediata patch. All’epoca, il fornitore non ha segnalato alcuna prova di sfruttamento in-the-wild.

Arctic Wolf ha osservato tentativi di sfruttamento provenienti da meno di dieci indirizzi IP distinti, ospitati principalmente su server privati ​​virtuali (VPS). Gli analisti di sicurezza attribuiscono la rapida trasformazione in arma all’impatto critico della vulnerabilità e al fatto che storicamente i dispositivi SonicWall sono stati presi di mira da gruppi ransomware come Akira e Fog.

Il modello di sfruttamento rispecchia le campagne precedenti. Verso la fine del 2024, gli affiliati del ransomware Akira hanno sfruttato account VPN SonicWall compromessi per infiltrarsi nelle reti, spesso crittografando i dati entro poche ore dall’accesso iniziale.

Arctic Wolf avverte che CVE-2024-53704 potrebbe fungere in modo simile da gateway per la distribuzione di ransomware, il furto di credenziali o lo spionaggio.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli