Une intrusion chez SonicWall via de « probables » vulnérabilités inédites

SonicWall a été victime d’une intrusion conduite en exploitant de « probables » vulnérabilités inédites, ou zero-day, dans ses propres produits. Mais l’enquête se poursuit.

L’équipementier a révélé, dans un billet de blog vendredi dernier au soir, avoir « identifié une attaque coordonnée sur [ses] systèmes internes par des acteurs malveillants très sophistiqués, exploitant des vulnérabilités “zero-day” probables sur certains produits d’accès à distance sécurisé SonicWall ».

Alors que le billet original mentionnait la version 10.x du client VPN NetExtender et les produits d’accès mobile sécurisé (SMA) de SonicWall, une mise à jour du blog publiée le 23 janvier a précisé que l’enquête se concentre sur les SMA série 100 et que NetExtender en a été écarté. Les pare-feu SonicWall, les SMA 1000 (la version entreprise de la série 100 qui est, elle, destinée aux PME) et les points d’accès SonicWave ont également été exclus.

À ce stade, SonicWall n’a pas confirmé l’existence de vulnérabilités inédites affectant la série SMA 100, et de ce fait, ne fournit ni correctif ni mise à jour de sécurité pour le produit.

La partie consacrée au SMA 100 de la mise à jour du billet de blog de SonicWall assure que pendant que l’enquête se poursuit, « les produits de la série SMA 100 peuvent être utilisés en toute sécurité dans des cas d’utilisation courante ». Sur une page de notification consacrée à l’enquête, l’équipementier précise ainsi que les clients actuels « peuvent continuer à utiliser NetExtender pour l’accès à distance avec la série SMA 100. Nous avons déterminé que ce cas d’utilisation n’est pas susceptible d’être exploité ». Ladite page enjoint aux administrateurs de « créer des règles d’accès spécifiques ou de désactiver Virtual Office et l’accès à l’interface d’administration en HTTPS à partir d’Internet, pendant que nous continuons d’enquêter sur la vulnérabilité ».

À ce stade, SonicWall n’a pas confirmé l’existence de vulnérabilités inédites affectant la série SMA 100, et de ce fait, ne fournit ni correctif ni mise à jour de sécurité pour le produit.

SonicWall n’a en outre fourni aucune information sur les acteurs suspectés d’être à l’origine de l’intrusion. Cependant, le billet original indiquait que l’équipementier « a observé une augmentation spectaculaire du nombre de cyberattaques contre les administrations et les entreprises, en particulier contre les entreprises qui opèrent des infrastructures critiques et fournissent des contrôles de sécurité à de telles organisations ». La mise à jour fait référence aux « attaques en cours contre les entreprises et les gouvernements du monde entier ».

Il n’est pas clair si ces références aux « attaques en cours » contre les gouvernements, les entreprises et les infrastructures critiques font référence aux attaques de SolarWinds.