Nowa luka w SonicWall: Podatność mogła dotyczyć prawie 2 mln. użytkowników

Podatność SonicWall została ostatecznie załatana. Jednak, jak donoszą brytyjscy badacze zajmujący się cyberbezpieczeństwem, zajęło to ponad dwa tygodnie. Prace nad luką w bezpieczeństwie SonicWall trwały 17 dni. W tym czasie ponad 10 milionów urządzeń było narażonych na ataki hakerskie. Wpłynęło to na bezpieczeństwo 1.9 milionów użytkowników i 500 000 przedsiębiorstw.

Pen Test Partners poinformowało o incydencie w jednym ze wpisów opublikowanych na prowadzonym przez organizację blogu. Jak podkreślają specjaliści z Pen Test Partners, załatanie luki trwało zdecydowanie za długo, biorąc pod uwagę charakter i powagę podatności.

Naprawa błędu zajęła SonicWall 17 dni

SonicWall zapewnia, że luka została załatana tak szybko jak to możliwe, oraz że nie została nigdy wykorzystana w praktyce.

Zdaniem Pen Test Partners, luka SonicWall umożliwiała potencjalnym atakującym wykorzystanie IDOR w celu uzyskania dostępu do usług chmurowych SonicWall. IDOR to luka w API lub w aplikacji webowej, która polega na nieprawidłowym uwierzytelnieniu. W ten sposób cyberprzestępcy mogą uzyskać dostęp do wrażliwych danych.

"Uzyskując dostęp na takim poziomie, atakujący mógłby zmodyfikować polityki firewall lub ustawienia dostępu VPN, przyznając sobie zdalny dostęp do każdej organizacji" - wyjaśnia Ken Munro, partner i założyciel Pen Test Media w wywiadzie dla SC Media. ”Haker mógłby użyć ransomware lub jakiejkolwiek metody ataku. Używając IDOR można było dodać dowolnego użytkownika do dowolnej grupy w dowolnej organizacji. Wszytko czego potrzebował użytkownik to własne konto”

Producent zapewnia, że luka w SonicWall została załatana tak szybko jak to możliwe

SonicWall wystosował oświadczenie, w którym zapewnia, że podatność w usługach chmurowych została szybko wykryta, zweryfikowana i zabezpieczona 26 Sierpnia. Dwa tygodnie wcześniej, SonicWall poinformował o wykryciu podatności w ramach programu PSIRT i natychmiastowo podjętych krokach w celu załatania luki.

Tymczasem, według Kena Munro, kilka dni po zawiadomieniu przez Pen Test Partners o wykrycia podatności, zgłoszenie pozostawało bez odpowiedzi. Dopiero po osobistym zawiadomieniu CEO SonicWalla, Billa Connera, podjęte zostały jakiekolwiek działania. Dopiero po kolejnych dwóch dniach problem został rozwiązany.

“Generalnie 17 dni to stanowczo zbyt długo dla krytycznego zagrożenia, które może dotknąć tak ogromną rzeszę użytkowników” - zauważa Tarki Saleh, Senior Security Engineer i analityk malware w Domain Tools.  "Wszystko wskazuje na to, że jeszcze wiele można by poprawić w procesie reakcji na incydenty zgłaszane w ramach programu PSIRT i w komunikacji z badaczami, tak aby zwiększyć ich poziom zaangażowania i nie pozostawiać ich bez odpowiedzi".

Źródło: SC Magazine