SonicWall, известный производитель файрволов и VPN-продуктов, стал жертвой хорошо спланированной атаки на внутренние системы. По имеющейся информации, киберпреступники использовали 0-day уязвимости в VPN от SonicWall.
Среди затронутых продуктов, по словам самого вендора, оказались NetExtender VPN (версии 10.x) и Secure Mobile Access (SMA), обеспечивающие пользователям удалённый доступ к внутренним ресурсам.
«Недавно мы выявили хорошо организованную кампанию, в ходе которой злоумышленники атаковали наши системы. Это были подготовленные киберпреступники, которым, предположительно, удалось использовать 0-day в продуктах SonicWall, обеспечивающих защищённый удалённый доступ», — сообщили представители SonicWall изданию The Hacker News.
Подробности компания обещает осветить по мере поступления информации. Также SonicWall пока не прокомментировала сообщения о взломе своего репозитория GitLab. Список продуктов, чьи баги использовались в атаке, выглядит на данный момент так:
- NetExtender VPN-клиент версий 10.x (вышел в 2020 году), используется для подключения к SMA 100 и файрволам SonicWall;
- Secure Mobile Access (SMA) версии 10.x, на которой работают SMA 200, SMA 210, SMA 400, SMA 410 и SMA 500v.
В официальном сообщении пострадавшая от взлома компания призывает организации включить мультифакторную аутентификацию, отключить доступ NetExtender к файрволу, ограничить доступ к пользователям и администраторам со стороны публичных IP-адресов и настроить «белые» списки для прямого доступа к SMA.
