Ditemukan Tiga Kerentanan Zero-Day SonicWall, Segera Instal Firmware Terbaru

Cyberthreat.id – Produsen perangkat keras keamanan SonicWall mendesak agar para pelanggannya segera menambal tiga kerentanan zero-day yang mempengaruhi produk Email Security.

Dalam satu kasus yang ditemukan, perusahaan mengatakan, kerentanan tersebut telah dieksploitasi oleh penjahat siber.

“Organisasi yang menggunakan layanan perangkat keras Email Security, perangkat virtual, atau instalasi perangkat lunak pada mesin Microsoft Windows Server untuk segera menambal,” ujar perusahaan seperti dikutip dari BleepingComputer, diakses Rabu (21 April 2021).

Tiga kerentanan tersebut ditemukan oleh Josh Fleischer dan Chris DiGiarno dari perusahaan keamanan siber Mandiant, anak perusahaan keamanan siber terkemuka FireEye, antara lain:

• CVE-2021-20021: kerentanan pada Email Security Pre-Authentication Administrative Account Creation yang memungkinkan penyerang membuat akun administratif dengan mengirim permintaan HTTP yang dibuat ke host jarak jauh (pembaruan keamanan dirilis pada 9 April)
• CVE-2021-20022: kerentanan Email Security Post-Authentication Arbitrary File Creation yang memungkinkan penyerang pasca-otentikasi mengunggah file sewenang-wenang ke host jarak jauh (pembaruan keamanan dirilis pada 9 April)
• CVE-2021-20023: kerentanan Email Security Post-Authentication Arbitrary File Read yang memungkinkan penyerang pasca-otentikasi membaca file sewenang-wenang dari host jarak jauh (pembaruan keamanan dirilis pada 19 April)

"Peretas memanfaatkan kerentanan tersebut, dengan pengetahuan mendalam tentang aplikasi SonicWall, untuk memasang pintu belakang, mengakses file dan email, dan berpindah secara lateral ke jaringan organisasi korban," kata FireEye.

Mandiant menjuluki kelompok yang mengeksploitasi kerentanan itu dengan nama “UNC2682”.

“Mandiant mencegah UNC2682 menyelesaikan misi mereka sehingga tujuan serangan mereka saat ini tetap tidak diketahui,” perusahaan menambahkan.

Versi perangkat yang terkena dampak kerentanan zero-day. | Sumber: BleepingComputer

SonicWall Hosted Email Security (HES) secara otomatis ditambal pada 19 April dan tidak ada tindakan yang diperlukan dari pelanggan yang hanya menggunakan produk keamanan email yang dihosting SonicWall.

"SonicWall Email Security versi 7.0.0-9.2.2 juga dipengaruhi oleh kerentanan di atas," perusahaan menambahkan.

"Namun, versi lawas ini telah mencapai akhir masa pakainya (EOL) dan tidak lagi didukung. Organisasi yang menggunakan versi produk lawas ini dan memiliki lisensi dukungan aktif dapat mengunduh versi Keamanan Email terbaru dari akun MySonicWall mereka."

Sebelumnya, SonicWall juga mengungkapkan pada Januari 2021 bahwa peretas tak dikenal mengeksploitasi kerentanan zero-day produk klien Secure Mobile Access (SMA) dan NetExtender VPN dalam serangan yang menargetkan sistem internal perusahaan.

Sebulan kemudian, SonicWall memperbaiki kerentanan zero-day yang dieksploitasi secara aktif yang mempengaruhi SMA 100, seri perangkat jaringan SonicWall.

Panduan langkah demi langkah tentang cara menerapkan pembaruan keamanan tersedia di sini.