SonicWall conseille aux utilisateurs de ses derniers pare-feu de désactiver le VPN. Une vague d’attaques par rançongiciel pourrait être liée à une vulnérabilité dans la solution.
Le spécialiste en sécurité SonicWall met en garde ses clients concernant l’utilisation de la fonctionnalité VPN dans ses pare-feu de septième génération. Depuis quelques jours, on constate une forte augmentation du nombre d’incidents cybernétiques impliquant ces appareils. SonicWall n’est pas le seul à observer cette augmentation ; l’activité accrue est également constatée par des parties externes telles que Google Mandiant, Huntress Labs et Arctic Wolf.
Probable faille zero day
Concrètement, les utilisateurs des pare-feu SonicWall de septième génération deviennent soudainement victimes d’attaques par rançongiciel lorsque la fonctionnalité SSLVPN est activée.
Il n’est pas clair pour le moment si et comment les pirates exploitent le VPN dans les pare-feu. SonicWall envisage une faille zero day, mais aucune information n’est disponible à ce sujet pour le moment. Arctic Wolf et Huntress Labs affirment qu’une faille zero day encore à découvrir est le principal suspect dans cette situation. En l’absence d’une faille connue, il n’existe pas non plus de correctif disponible.
Désactivation
SonicWall demande donc à ses clients de désactiver cette fonctionnalité. S’il n’est pas possible de désactiver le SSLVPN, les clients peuvent prendre des mesures d’atténuation pour limiter le risque.
Ainsi, SonicWall suggère de n’autoriser que les adresses IP connues, d’activer la protection Botnet et le filtrage géo-IP, et bien sûr d’activer l’authentification multifactorielle (MFA). Il est quelque peu inquiétant que l’entreprise mentionne immédiatement qu’il y a des indications que la MFA ne suffit pas à prévenir une attaque réussie.
Pas la première fois
Ce n’est pas la première fois que les pare-feu SonicWall sont sous le feu des critiques. Le mois dernier encore, les experts en sécurité de Google ont découvert une porte dérobée dans la série SonicWall SMA 100. En février, des attaquants ont activement exploité une faille précédemment découverte dans SonicOS. Fin 2024, il a été révélé que plus de 25 000 appareils SonicWall SSLVPN accessibles publiquement étaient vulnérables aux exploits, bien que la responsabilité en incombait à la politique de mise à jour des utilisateurs.
Dans la plupart des cas, une bonne politique de mise à jour peut prévenir les abus. Cette fois-ci, c’est différent. Il est exceptionnel qu’une tendance d’exploitation soit visible, mais que le vecteur reste peu clair. Les propriétaires d’un pare-feu SonicWall de septième génération devraient prendre des mesures d’atténuation et se tenir prêts pour un correctif.