Kriittinen haavoittuvuus SonicWall VPN-ohjelmistoissa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus SonicWall VPN-ohjelmistoissa

23. tammikuuta 2021 klo 13.12, päivitetty 9. helmikuuta 2021 klo 21.39

SonicWall on havainnut koordinoidun hyökkäyksen heidän omia järjestelmiään vastaan. Hyökkäyksessä on hyödynnetty 0-päivähaavoittuvuuksia tietyissä SonicWallin tuotteissa. Haavoittuvuuksiin on julkaistu korjaavat päivitykset ja ne on syytä asentaa välittömästi.

SonicWall on julkaissut päivityksen, joka korjaa SMA 100 -sarjan laiteohjelmistojen versiosta 10.x löytyneen kriittisen 0-päivähaavoittuvuuden. Kaikki SMA 100 -sarjan järjestelmät on syytä päivittää välittömästi.

0-päivähaavoittuvuus on seuraavissa SonicWallin VPN-tuotteissa. Haavoittuvien järjestelmien lista on päivittynyt alkuperäisestä haavoittuvuustiedotteesta.

  • Secure Mobile Access (SMA) 100 versiot 10.x, joka on ajossa seuraavissa
    • Fyysiset järjestelmät: SMA 200, SMA 210, SMA 400, SMA 410
    • Virtuaaliset järjestelmät: SMA 500v (Azure, AWS, ESXi, HyperV)

Haavoittuvuuden kohde

SMA 100 -sarjan laiteohjelmistoversiot välillä 10.x < 10.2.0.5-29sv, jotka ovat ajossa seuraavissa järjestelmissä:

  • Fyysiset järjestelmät: SMA 200, SMA 210, SMA 400, SMA 410
  • Virtuaaliset järjestelmät: SMA 500v (Azure, AWS, ESXi, HyperV)

Haavoittuvuus ei koske SonicWall-palomuureja, NetExtender VPN-asiakasohjelmia, SMA 1000-sarjan tuotteita eikä SonicWall SonicWave AP -tuotteita, kuten ei myöskään SMA 100 -sarjan tuotteita, joissa laiteohjelmisto on vanhempi kuin 10.x.

Mistä on kysymys?

Mikäli teillä on käytössänne SMA 100 -sarjan järjestelmiä (versio 10.x), seuraavat toimenpiteet ovat suositeltuja.

  • Päivitä laiteohjelmisto versioon SMA 10.2.0.5-29sv.
  • Nollaa salasanat kaikilta käyttäjiltä, jotka ovat saattaneet joskus kirjautua järjestelmään webkäyttöliittymän kautta.
  • Ota monivaiheinen tunnistautuminen (MFA) käyttöön.

Mikäli päivitystä ei ole mahdollista tehdä välittömästi, seuraavat toimenpiteet ovat suositeltuja.

Lisää tietoa:

Mitä voin tehdä?

Verkon aktiivilaitteet

Verkon aktiivilaitteilla tarkoitetaan sellaisia laitteita, jotka ovat yleensä tavallisen käyttäjän näkymättömissä, kuten esimerkiksi reitittimet, kytkimet ja palomuurit. Nämä laitteet ja niiden ohjelmistot välittävät tai suodattavat verkkoliikennettä.

Etäkäyttö

Etäkäyttöisesti tehtävän hyökkäyksen voi tehdä tietoverkkoyhteyden tai vastaavan kautta ilman että pääsee itse kohteena olevan järjestelmän luokse.

Komentojen mielivaltainen suorittaminen

Komentojen mielivaltaisen suorittamisen mahdollistavaa haavoittuvuutta on pidettävä vakavana, sillä se tarkoittaa sitä, että hyväksikäyttäjä voi käyttää kohteena olevaa järjestelmää aivan kuin sen tavallinen käyttäjäkin. Se voi johtaa myös siihen, että järjestelmään murtautunut hyökkääjä voi ladata verkon kautta järjestelmään omia ohjelmiaan suoritettavaksi.

Suojauksen ohittaminen

Suojauksen ohittamisella tarkoitetaan sitä, että haavoittuvuutta hyväksikäyttämällä ohitetaan järjestelmän käytön rajoittamiseksi tehty suojaus esimerkiksi liikennöimällä palomuurin ohi suojattuun verkkoon.

Rikollisessa käytössä

Haavoittuvuus on rikollisessa käytössä.

Korjaava ohjelmistopäivitys

Ohjelmisto- tai laitevalmistaja julkaisee tavallisesti pian uuden version tai osittaisen päivityksen ohjelmistoon tai käyttöjärjestelmään sen jälkeen kun haavoittuvuus on tullut julki. Päivitys voi olla saatavilla samalla kun haavoittuvuuskin julkaistaan, mutta usein sitä joudutaan odottelemaan jonkin aikaa.

Ongelman rajoittaminen

Vaikka varsinaista korjausta haavoittuvuuteen ei aina ole saatavilla, sen vaikutuksia voidaan useimmiten rajoittaa esimerkiksi pidättäytymällä tilapäisesti jonkin ominaisuuden käytöstä tai rajoittamalla verkkoliikennettä kohdejärjestelmään sopivasti.

25. tammikuuta 2021 klo 17.39 Päivitetty tietoja haavoittuvista järjestelmistä. SonicWallin mukaan NetExtender 10.x VPN-asiakasohjelmat eivät ole haavoittuvia.