Güvenlik donanımı üreticisi SonicWall; hem şirket içini hem de barındırılan E-mail Security (HES) ürünlerini etkileyen 0-day zafiyetleri tespit edildiğini açıklamıştır. Tespit edilen zafiyetlerin siber tehdit aktörleri tarafından siber dünyada istismar edildiğini belirtmektedir.
Tespit edilen zafiyetler, güvenlik araştırmacıları tarafından şirkete bildirilmiştir:
- CVE-2021-20021 (E-posta Güvenliği Ön Kimlik Doğrulaması Yönetici Hesabı Oluşturma Zafiyeti): Bir saldırganın uzaktaki bir hedefe, zararlı HTTP isteği göndererek yönetici hesabı oluşturmasına izin vermektedir.
- CVE-2021-20022 (E-posta Güvenliği Kimlik Doğrulama Sonrası Rastgele Dosya Oluşturma Zafiyeti): Kimliği doğrulanmış bir saldırganın, uzaktaki bir ana bilgisayara rastgele dosya yüklemesine izin vermektedir.
- CVE-2021-20023 (E-posta Güvenliği Kimlik Doğrulama Sonrası Rastgele Dosya Okuma Zafiyeti): Kimliği doğrulanmış bir saldırganın, uzaktaki bir hedef sistemden rastgele dosya okumasına izin vermektedir.
3 farklı 0-day zafiyetinden etkilenen SonicWall ürünlerinin listesi ve hangi sürüme yükseltilecekleri aşağıda belirtilmiştir.
Kritik siber saldırıların önlenebilmesi adına zafiyetli SonicWall E-Mail Security servisini kullanan kurumların güncel versiyonlara yükseltme yapması önerilmektedir.