SonicWall“强烈敦促”使用 SMA 100 系列设备的组织立即针对多个安全漏洞进行修补,这些漏洞的 CVSS 评分从中等到严重不等。
即使启用了 Web 应用程序防火墙 (WAF),这些错误(由 Rapid7 的Jake Baines和 NCC Group 的Richard Warren报告)也会影响 SMA 200、210、400、410和 500v 设备。
SonicWall 本周修补的最严重的漏洞是 CVE-2021-20038 和CVE-2021-20045,这两个关键的基于堆栈的缓冲区溢出漏洞可以让未经身份验证的远程攻击者在受感染设备中作为“无人”用户执行。
该公司周二修补的其他错误使经过身份验证的威胁行为者能够在成功利用后获得远程代码执行、注入任意命令或将精心制作的网页和文件上传到设备中的任何目录。
但是,如果不打补丁,最危险的是 CVE-2021-20039。这种高度严重的安全问题可以让经过身份验证的攻击者以 root 用户身份注入任意命令,从而导致远程接管未打补丁的设备。
幸运的是,SonicWall 表示尚未发现任何这些安全漏洞在野外被利用的证据。
“SonicWall 敦促受影响的客户尽快实施适用的补丁,”该公司在周二发布的安全公告中表示。
建议使用 SMA 100 系列设备的客户立即登录其MySonicWall.com帐户,将固件升级到本SonicWall PSIRT公告中列出的版本。
有关如何升级 SMA 100 设备固件的升级帮助,请参阅此知识库文章或联系SonicWall 的支持。
考虑到修补这些安全漏洞的重要性,自 2021 年初以来,SonicWall SMA 100 设备已多次成为勒索软件团伙的目标。
例如,Mandiant 在 4 月份表示,从 1 月份开始,CVE-2021-20016 SMA 100 零日漏洞被利用来部署一种名为 FiveHands的新勒索软件 ,当时它也被用于针对 SonicWall 的内部系统。在2021 年 2 月下旬发布补丁之前,同样的错误在野外被 不分青红皂白地滥用。
7 月,SonicWall 还警告说, 针对未修补的报废 SMA 100 系列和安全远程访问产品的勒索软件攻击风险会增加。然而,CrowdStrike、Coveware 安全研究人员和 CISA 警告说,SonicWall 设备已经成为 HelloKitty 勒索软件的目标。
SonicWall 的产品被来自全球 215 个国家和地区的500,000 多个商业客户使用,其中许多客户部署在世界上最大的公司和政府机构的网络上。