SonicWall memperingatkan bahwa kelemahan kontrol akses yang baru saja diperbaiki yang dilacak sebagai CVE-2024-40766 di SonicOS sekarang “berpotensi” dieksploitasi dalam serangan, mendesak admin untuk menerapkan patch sesegera mungkin.
“Kerentanan ini berpotensi dieksploitasi di alam liar. Harap terapkan patch sesegera mungkin untuk produk yang terpengaruh. Build patch terbaru tersedia untuk diunduh di mysonicwall.com,” memperingatkan pemberitahuan SonicWall yang diperbarui.
CVE-2024-40766 adalah kelemahan kontrol akses kritis (skor CVSS v3: 9.3) yang memengaruhi perangkat SonicWall Firewall Gen 5 dan Gen 6, serta perangkat Gen 7.
Vendor perangkat lunak tidak mengungkapkan banyak informasi tentang kelemahan tersebut selain potensi akses sumber daya yang tidak sah dan kemampuannya untuk merusak firewall, sehingga menghilangkan perlindungan jaringan.
Ketika SonicWall pertama kali mengungkapkan kekurangannya pada tanggal 22 Agustus 2024, kelemahan tersebut diyakini hanya terdapat pada akses manajemen SonicWall SonicOS. Dengan pembaruan hari ini, perusahaan tersebut memperingatkan bahwa CVE-2024-40766 juga memengaruhi fitur SSLVPN firewall.
Terapkan patch sesegera mungkin
Daftar produk dan versi yang terkena dampak, serta rilis yang membahas CVE-2024-40766, dirangkum sebagai berikut:
- SonicWall Gen 5 menjalankan SonicOS versi 5.9.2.14-12o dan yang lebih lama – diperbaiki di SonicOS versi 5.9.2.14-13o
- SonicWall Gen 6 menjalankan SonicOS versi 6.5.4.14-109n dan yang lebih lama – diperbaiki di 6.5.2.8-2n (untuk SM9800, NSsp 12400, NSsp 12800) dan versi 6.5.4.15-116n (untuk Firewall Gen 6 lainnya)
- SonicWall Gen 7 menjalankan SonicOS versi 7.0.1-5035 dan yang lebih lama – tidak dapat direproduksi dalam 7.0.1-5035 dan yang lebih baru.
Rekomendasi mitigasi terbaru oleh SonicWall meliputi:
- Batasi manajemen firewall ke sumber tepercaya dan nonaktifkan akses internet ke portal manajemen WAN jika memungkinkan.
- Batasi akses SSLVPN hanya ke sumber tepercaya dan nonaktifkan sepenuhnya jika tidak diperlukan.
- Untuk perangkat Gen 5 dan Gen 6, pengguna SSLVPN dengan akun lokal harus segera memperbarui kata sandi mereka dan administrator harus mengaktifkan opsi “Pengguna harus mengubah kata sandi” untuk pengguna lokal.
- Aktifkan autentikasi multi-faktor (MFA) untuk semua pengguna SSLVPN yang menggunakan TOTP atau kata sandi sekali pakai (OTP) berbasis email. Informasi selengkapnya tentang cara mengonfigurasi tindakan ini tersedia di tersedia disini.
Walaupun SonicWall belum mengungkapkan bagaimana kelemahan itu dieksploitasi secara aktif, kelemahan serupa telah digunakan di masa lalu untuk mendapatkan akses awal ke jaringan perusahaan.
Pelaku ancaman umumnya menargetkan SonicWall karena mereka terekspos ke internet untuk menyediakan akses VPN jarak jauh.
Pada bulan Maret 2023, tersangka peretas Tiongkok (UNC4540) menargetkan perangkat SonicWall Secure Mobile Access (SMA) yang tidak ditambal untuk memasang malware khusus yang bertahan melalui pembaruan firmware.
BleepingComputer menghubungi SonicWall untuk mempelajari lebih lanjut tentang bagaimana kelemahan tersebut dieksploitasi secara aktif dalam serangan, tetapi tanggapannya belum tersedia.
