Zero-Day-Schwachstellen bei SonicWall

In einer Sicherheitswarnung am Dienstag teilte das US-Unternehmen SonicWall mit, dass Fixes veröffentlicht wurden, um drei kritische Probleme zu beheben, die „gehostete und On-Premises-E-Mail-Sicherheitsprodukte“ betreffen. Der Hersteller bittet seine Kunden dringend, die Patches sofort anzuwenden. SonicWall hat eine Schritt-für-Schritt-Anleitung für die Anwendung von Sicherheitsupgrades bereitgestellt.

SonicWall ES ist eine Lösung zum Schutz des E-Mail-Verkehrs und der Kommunikation, die beispielsweise Phishing-E-Mails und BEC-Versuche (Business Email Compromise) verhindern soll. Es gibt mindestens einen bekannten Fall von aktiver Ausnutzung der Schwachstelle der Appliance, der aufgezeichnet wurde.

„Unternehmen, die Hardware-Appliances, virtuelle Appliances oder Software-Installationen von SonicWall Email Security (ES) auf Microsoft Windows Server einsetzen, sollten unbedingt sofort ein Upgrade auf die jeweils aufgelistete Version von SonicWall Email Security durchführen“, so SonicWall.

Die Schwachstellen werden als CVE-2021-20021, CVE-2021-20022 und CVE-2021-20023 geführt und betreffen die SonicWall ES/Hosted Email Security (HES) Versionen 10.0.1 und höher.

CVE-2021-20021: CVSS 9.4, „Unbefugte Erstellung eines administrativen Kontos“: Gekünstelte HTTP-Anfragen, die an einen entfernten Host gesendet werden, können die unautorisierte Erstellung von Administratorkonten aufgrund eines unzureichend gesicherten API-Endpunkts ermöglichen.

CVE-2021-20022: CVSS 6.7, „Beliebiger Datei-Upload nach Authentifizierung“: Post-authentifizierte Angreifer können beliebige Dateien auf einen entfernten Host hochladen, was durch ein Problem in der „Branding“-Funktionalität ausgelöst wird.

CVE-2021-20023: CVSS 6.7, „Beliebiges Lesen von Dateien nach der Authentifizierung“: Angreifer können auf einem entfernten Host beliebige Dateien lesen, ebenfalls hervorgerufen durch die „Branding“-Funktion.

Das Mandiant-Team von FireEye entdeckte die Bugs und meldete sie dem SonicWall Product Security Incident Response Team (PSIRT) im Rahmen einer Untersuchung von Web-Shell-Aktivitäten auf dem System eines Kunden, die auf SonicWall ES als ursprüngliche Quelle der Kompromittierung hinwiesen.

Laut den Mandiant-Forschern Josh Fleischer, Chris DiGiamo und Alex Pennino wurden die Schwachstellen in einer Angriffskette ausgenutzt, um administrativen Zugriff zu erlangen und Code auf anfälligen ES-Produkten auszuführen, einschließlich der Installation einer Backdoor, der Offenlegung von Dateien und um laterale Netzwerkbewegungen zu erreichen.  Das Team fügte hinzu, dass der explizite Fall „intime Kenntnisse über die SonicWall-Anwendung“ zeigt.

CVE-2021-20021 und CVE-2021-20022 wurden am 26. März privat gemeldet, am 21. März bestätigt, und am 9. April wurde ein Hotfix angewendet. CVE-2021-20023 wurde am 7. April gemeldet, woraufhin am 19. April ein Patch zur Verfügung stand.  SonicWall empfiehlt seinen Kunden dringend, ihre Email Security-Builds auf Version 10.0.9.6173 (Windows) oder 10.0.9.6177 (Hardware/ESXi Virtual Appliance) zu aktualisieren, die Hotfixes für die Sicherheitslücken enthalten.

Kunden, die sich für SonicWall Hosted Email Security (HES)-Produkte angemeldet haben, müssen keine weiteren Maßnahmen ergreifen, da die Patches in der Version 10.0.9.6173 automatisch angewendet wurden.

Laut Hersteller sind jedoch auch die SonicWall ES-Versionen 7.0.0-9.2.2 von den kritischen Schwachstellen betroffen, bei denen es sich um auslaufende Produkte handelt, die keinen Anspruch auf Sicherheitsupdates haben. Anwendern dieser Versionen rät SonicWall ebenfalls zu einem sofortigen Upgrade.