Kriittinen haavoittuvuus SonicWall VPN-ohjelmistoissa
Haavoittuvuus3/2021
SonicWall on havainnut koordinoidun hyökkäyksen heidän omia järjestelmiään vastaan. Hyökkäyksessä on hyödynnetty 0-päivähaavoittuvuuksia tietyissä SonicWallin tuotteissa. Haavoittuvuuksiin on julkaistu korjaavat päivitykset ja ne on syytä asentaa välittömästi.
SonicWall on julkaissut päivityksen, joka korjaa SMA 100 -sarjan laiteohjelmistojen versiosta 10.x löytyneen kriittisen 0-päivähaavoittuvuuden. Kaikki SMA 100 -sarjan järjestelmät on syytä päivittää välittömästi.
0-päivähaavoittuvuus on seuraavissa SonicWallin VPN-tuotteissa (Ulkoinen linkki). Haavoittuvien järjestelmien lista on päivittynyt alkuperäisestä haavoittuvuustiedotteesta.
- Secure Mobile Access (SMA) 100 versiot 10.x, joka on ajossa seuraavissa
- Fyysiset järjestelmät: SMA 200, SMA 210, SMA 400, SMA 410
- Virtuaaliset järjestelmät: SMA 500v (Azure, AWS, ESXi, HyperV)
Kohde
- Verkon aktiivilaitteet
Hyökkäystapa
- Etäkäyttö
Vaikutukset
- Komentojen mielivaltainen suorittaminen
- Suojauksen ohittaminen
Hyväksikäyttömenetelmä tiedossa
- Rikollisessa käytössä
Ratkaisu
- Korjaava ohjelmistopäivitys
- Ongelman rajoittaminen
Haavoittuvuuden kohde
SMA 100 -sarjan laiteohjelmistoversiot välillä 10.x < 10.2.0.5-29sv, jotka ovat ajossa seuraavissa järjestelmissä:
- Fyysiset järjestelmät: SMA 200, SMA 210, SMA 400, SMA 410
- Virtuaaliset järjestelmät: SMA 500v (Azure, AWS, ESXi, HyperV)
Haavoittuvuus ei koske SonicWall-palomuureja, NetExtender VPN-asiakasohjelmia, SMA 1000-sarjan tuotteita eikä SonicWall SonicWave AP -tuotteita, kuten ei myöskään SMA 100 -sarjan tuotteita, joissa laiteohjelmisto on vanhempi kuin 10.x.
Mistä on kysymys?
Mikäli teillä on käytössänne SMA 100 -sarjan järjestelmiä (versio 10.x), seuraavat toimenpiteet ovat suositeltuja.
- Päivitä laiteohjelmisto versioon SMA 10.2.0.5-29sv.
- Nollaa salasanat kaikilta käyttäjiltä, jotka ovat saattaneet joskus kirjautua järjestelmään webkäyttöliittymän kautta.
- Ota monivaiheinen tunnistautuminen (MFA) käyttöön.
Mikäli päivitystä ei ole mahdollista tehdä välittömästi, seuraavat toimenpiteet ovat suositeltuja.
- Poista toistaiseksi Virtual Office sekä Internetiin näkyvät hallintapaneelit käytöstä tai rajoita niihin pääsyä.
- Salli palomuurilla SSL-VPN-yhteydet SMA-sovelluksiin vain tunnetuista ja hyväksytyistä IP-osoitteista.
- Vaihtoehtoisesti säädä hyväksytyt listat SMA:ssa. Lisää tietoa: How to restrict access for NetExtender / Mobile Connect users based on policy for IP address? (Ulkoinen linkki)
- Ota käyttöön web-sovellustason palomuuri (web application firewall, WAF) seuraavien ohjeiden mukaan kunnes päivitys on tehty. How to configure web application firewall (WAF) on the SMA 100 series? (Ulkoinen linkki)
Lisää tietoa:
- How to configure two-factor authentication using TOTP for HTTPS Management (Ulkoinen linkki)
- How do I configure 2FA for SSL VPN with LDAP and TOTP? (Ulkoinen linkki)
- How can I configure Time-Based One Time Password (TOTP) in SMA 100 series? (Ulkoinen linkki)
- How to configure web application firewall (WAF) on the SMA 100 series? (Ulkoinen linkki)
- How to restrict access for NetExtender / Mobile Connect users based on policy for IP address? (Ulkoinen linkki)
Mitä voin tehdä?
Päivitetty tietoja haavoittuvista järjestelmistä. SonicWallin mukaan NetExtender 10.x VPN-asiakasohjelmat eivät ole haavoittuvia.
Päivitetty tietoja. Korjaava päivitys on julkaistu.