SonicWall 遭披露 VPN 設備 SMA 100系列存在零時差弱點

風險等級: 高度威脅
摘 要: 【弱點說明】事件通告:SonicWall 遭披露 VPN 設備 SMA 100系列存在零時差弱點,稍早已釋出修補更新!

【影響範圍】

  • SonicWall Secure Mobile Access (SMA) 韌體 10.x 版本 for
    (Physical)(SMA 200、SMA 210、SMA 400、SMA 410)
  • SonicWall Secure Mobile Access (SMA) 韌體 10.x 版本 for
    (Virtual)(SMA 500v)(Azure、 AWS、ESXi、HyperV)

【細節描述】

日前 SonicWall 公告因為自家 VPN 設備出現弱點而被攻擊,可能與 SMA 100系列 SSL VPN 設備存在的未知弱點有關。而在1月31日資安公司 NCC Group 發布推文指出,這系列設備未被公開的潛在弱點,駭客已經拿來發動其他攻擊,亦得到 SonicWall 的證實。為了防範調查階段駭客就開始大肆濫用漏洞,NCC Group 並未透露更多細節,僅建議網管人員要加強該設備的存取監控。
SonicWall 於北美時間(CST)2月1日下午2時30分,更新公告內容,表示 NCC Group 向他們通報的重大未知弱點,影響所有執行
10.x 版韌體的 SMA 100 系列設備,而且無論是實體或是虛擬版本設備都受到波及,包含 SMA 200、SMA 210、SMA 400、SMA 410,以及 SMA 500v 等型號的產品線。該公司亦預計於2月2日之內,提供修補程式。
而對於現在能夠緩解相關攻擊的作法,SonicWall 除了先前提及的啟用雙因素驗證與重設密碼,亦建議透過防火牆封鎖 SMA 100
系列設備,或者是關機等方式暫停使用,等到安裝修補程式再恢復運作。另也提出可藉由回復原廠設定的方式,改執行舊的 9.x 版韌體來緩解存在於新版韌體的重大漏洞,並提醒若需執行韌體降版之前,用戶應先備份相關的組態設定再進行相關作業。
SonicWall 於北美時間(CST)2月3日下午2時更新公告,宣布推出 SMA 100 系列韌體 10.2.0.5-29sv 更新,以修補 SMA 100 系列 10.x 版本上的零時差弱點。所有 SMA 100 系列用戶都必須立即應用此修補更新,以避免遭攻擊者利用的潛在風險。

【建議措施】

請參考原廠說明,依序作升級步驟設定(https://www.sonicwall.com/support/product-
notification/210122173415410/)
(1) 升級至 SMA 10.2.0.5-29sv 韌體版本,可從 www.mysonicwall.com 更新取得。
(2) 將已通過 Web 介面登錄到該設備的所有存在帳戶重置密碼。 (3) 將設備啟用多因素身份驗證 (multifactor authentication;MFA) 作為安全措施,無論在設備或群組的目錄服務上啟用 MFA,都是有效的。
另外,若無法立即修補更新的客戶,可先啟用內置的 Web 應用程序防火牆 (WAF) 功能來緩解 SMA 100系列 10.x 設備上
SNWLID-2021-0001 (CVE-2021-20016) 中的弱點。

參考資訊: iThome
SonicWall (CVE-2021-20016)