SonicWall警告電子郵件安全產品有3項遭開採的零時差漏洞

SonicWall本周二警告代管及本地部署的電子郵件安全產品三項漏洞已發生開採活動，呼籲用戶儘速安裝修補程式。

這三項漏洞及開採是由安全廠商FireEye發現並通報。

這三項漏洞分別為CVE-2021-20021、CVE-2021-20022和CVE-2021-20023，影響代管及本地部署的SonicWall電子郵件安全（Email Security）產品。其中CVE-2021-20021出在管理員控制臺允許從微軟AD組織單元（Organization Unit，OU）新增另一管理員帳號的API功能驗證不當。這項漏洞允許遠端未經授權的攻擊者傳送惡意HTTP呼叫開採，而建立管理員帳號，CVSS 3.1風險層級達9.8（滿分為10）。

CVE-2021-20022和CVE-2021-20023漏洞，則是出在讓管理員為Web UI上的「品牌」功能，即可經該功能加入公司logo等客製化元素。CVE-2021-20022漏洞允許驗證後的攻擊者上傳有害的.ZIP檔案，將惡意檔案包括web shell或其他程式碼植入任何地點。CVE-2021-20023則是「品牌」功能上的目錄跨越（directory-traversal）漏洞，允許透過傳送惡意HTTP呼叫，來讀取主機上任意檔案。CVE-2021-20022和CVE-2021-20023被列為中度風險。

FireEye指出，3項漏洞可被串聯使用，而該公司研究人員於3月底正是觀察到串聯三者的攻擊。一家在Windows Server 2012上跑SonicWall ES 的系統遭到開採後，攻擊者在伺服器上植入名為BEHINDER web shell。BEHINDER不到1kb，可和外部C&C伺服器建立加密連線，還讓攻擊者得以直接存取指令控制臺及管理員帳號。

FireEye旗下的Mandiant公司尚無法判定攻擊組織的身份，暫命名為UNC2682。

影響的ES版本包括Email Security 10.0.1以後版本。除了Windows版ES軟體外，3項漏洞也影響本地部署的SonicWall ES硬體裝置、虛擬裝置及代管服務。

SonicWall已釋出更新版本ES 10.0.9，並呼籲使用及Windows Server上安裝ES軟體的企業用戶，應儘速升級到各平臺的最新版本ES。其中CVE-2021-20021和CVE-2021-20022已在4月9日修補，CVE-2021-20023則在4月20日修補。有媒體質疑何以SonicWall 3月底就接獲通報，4月初就修好漏洞，卻要等到4月20日才通知客戶。

至於代管的SonicWall Hosted Email Security (HES)則已在4月19日修補，企業用戶無需任何動作。此外，舊版本的ES 7.0.0到9.2.2也受到影響，但這些是已EOL（end of life，EOL）的產品，已不再獲得支援。

美國網路安全暨基礎架構安全署（CISA）周三也發出緊急公告。

這是SonicWall今年以來第二度發生漏洞攻擊事件。2月初SonicWall緊急釋出修補程式，以解決一個1月底已有駭客開採的SMA 100系列SSL VPN設備零時差漏洞。