21.04.2021 - Il 20 aprile, vulnerabilità critiche sono state rivelate in due prodotti di sicurezza di Pulse Secure e SonicWall. Secondo le informazioni a nostra disposizione, le vulnerabilità sono già attivamente sfruttate da attori individuali per ottenere l'accesso alle reti aziendali (sfruttamento zero day).
Sono interessati i seguenti prodotti:
Costruttore: SonicWall
Prodotto: SonicWall Email Security (ES).
Vulnerabilità:
CVE-2021-20021 Creazione di account amministrativi non autorizzati
CVE-2021-20022 Upload arbitrario di file dopo l'autenticazione
CVE-2021-20023 Lettura arbitraria di file dopo l'autenticazione
NCSC raccomanda vivamente agli utenti del prodotto in questione di applicare l'ultimo aggiornamento di sicurezza (hotfix 10.0.9.6173 o 10.0.9.6177) il prima possibile.
Ulteriori informazioni dal produttore sulle vulnerabilità in questione possono essere trovate qui:
https://www.sonicwall.com/support/product-notification/security-notice-sonicwall-email-security-zero-day-vulnerabilities/210416112932360/
Costruttore: Pulse Secure
Prodotto: Pulse Connect Secure
Vulnerabilità:
CVE-2021-22893 Remote Code Execution (RCE).
Sfortunatamente, non c'è ancora un aggiornamento di sicurezza per la vulnerabilità menzionata in Pulse Connect Secure. Tuttavia, il venditore ha rilasciato un workaround. L'NCSC raccomanda quindi vivamente agli utenti del prodotto in questione di implementare il prima possibile il workaround menzionato sul sito del produttore:
https://kb.pulsesecure.net/articles/Pulse_Security_Advisories/SA44784/
Inoltre, l'NCSC raccomanda di eseguire il "Pulse Connect Secure Integrity Tool" sui dispositivi interessati:
https://kb.pulsesecure.net/articles/Pulse_Secure_Article/KB44755
NCSC sottolinea anche esplicitamente che vulnerabilità simili sono state utilizzate negli ultimi mesi da attori per penetrare nelle reti aziendali e criptarle con ransomware e per rubare grandi quantità di dati con cui la vittima potrebbe essere ricattata. NCSC valuta quindi il rischio posto dalle vulnerabilità menzionate come "molto alto".
Indipendentemente dal prodotto utilizzato, NCSC fa le seguenti raccomandazioni per gli accessi remoti come VPN, Citrix o web mail:
- Questi devono sempre essere protetti con un secondo fattore (autenticazione a 2 fattori). Gli accessi semplici con un solo fattore (nome utente, password) devono essere tecnicamente impediti.
- I prodotti corrispondenti devono essere configurati in modo tale che sia i tentativi di accesso riusciti che quelli falliti siano registrati (logging).
Ultima modifica 21.04.2021
