C'est la seconde fois cette année que SonicWall alerte ses clients aux sujets de vulnérabilités pouvant être exploités par des cyberpirates. L'équipementier a mis en garde cette semaine contre une campagne "imminente" de ransomware visant ses anciens produits Secure Mobile Access (SMA) et Secure Remote Access (SRA) et a conseillé aux clients de mettre à jour leur firmware ou de déconnecter immédiatement leurs appareils et de changer tous les mots de passe associés. Les appliances SRA 4600/1600 (EoL 2019), le SRA 4200/1200 (EoL 2016) et le SSL-VPN 200/2000/400 (EoL 2013/2014) sont concernés. « Les entreprises qui ne prennent pas les mesures appropriées pour atténuer ces vulnérabilités sur leurs produits des séries SRA et SMA 100 courent un risque imminent d'attaque ciblée par ransomware », indique l'alerte de sécurité. Rappelons que les appliances des séries SMA 100 sont des passerelles de gestion des accès qui permettent aux petites et moyennes entreprises de fournir aux employés distants un accès par navigateur et par VPN aux ressources internes de l'entreprise, voire à des ressources hybrides hébergées dans le cloud.
Les chercheurs en menaces de Mandiant, qui ont également découvert la brèche de SolarWinds en décembre, ont alerté SonicWall que des cybercriminels utilisant des informations d'identification volées ciblaient les produits SMA 100 et SRA fonctionnant avec un firmware 8.x non corrigé et en fin de vie. Il s'agit d'une vulnérabilité connue que SonicWall a corrigée dans les dernières versions de ses firmwares. « Les appareils en fin de vie affectés avec le firmware 8.x ont dépassé les atténuations temporaires », indique l'alerte. « L'utilisation continue de ce micrologiciel ou des appareils en fin de vie constitue un risque de sécurité actif ». Cependant, le fournisseur a déclaré qu'il fournira un SMA 500v virtuel gratuit jusqu'au 31 octobre pour les clients dont les appareils en fin de vie ne peuvent pas être mis à niveau vers le micrologiciel 9.x ou 10.x. Cela devrait donner à ces clients « suffisamment de temps pour passer à un produit qui est activement maintenu », a-t-il ajouté.
La série SMA 1000 préservée
Pour les produits de la série SRA bénéficiant d'un support actif (210/410/500v), l’équipementier conseille aux clients utilisant le firmware 9.x de procéder immédiatement à la mise à jour vers la version 9.0.0.10-28sv ou ultérieure. Pour les clients SRA utilisant le firmware 10.x, SonicWall a indiqué qu'ils devaient immédiatement effectuer une mise à jour vers 10.2.0.7-34sv ou une version ultérieure. Signalons enfin que les produits de la série SMA 1000 ne sont pas concernés par la vulnérabilité.