【漏洞通告】SonicWall VPN 0day漏洞

发布时间 2021-01-25

0x00 漏洞概述

CVE  ID


时  间

2021-01-25

类   型

预身份验证

等  级

高危

远程利用

影响范围


 

0x01 漏洞详情

image.png

 

SonicWall是硬件防火墙设备、VPN网关和网络安全解决方案的知名制造商,其产品主要用于SOHO、SMB、企业、服务提供商、电子商务、政府、教育和医疗机构等多个组织机构。

2021年1月22日, SonicWall发布紧急通报,公开了其Secure Mobile Access(SMA)VPN设备及其NetExtender VPN客户端中的一个0 day漏洞,并且该漏洞正在被攻击者积极利用。

Secure Mobile Access(SMA)是一个物理设备,可提供VPN接入内部网络,而NetExtender VPN客户端是一个App客户端,用于连接到支撑VPN连接的防火墙。

尽管目前该漏洞的细节官方暂未公布,但SonicWall表示,可以通过在受影响的设备上启用多因素身份验证(MFA)并限制对基于白名单IP地址的设备的访问来缓解漏洞。

 

影响范围

NetExtender 10.x

用于连接SMA 100系列设备和SonicWall防火墙的NetExtender VPN客户端版本10.x

SMA 10.x

在SMA 200、SMA 210、SMA 400和SMA 410物理设备及SMA 500v虚拟设备上运行的Secure Mobile Access(SMA)版本10.x

调查中

SMA 100系列

 

 

0x02 处置建议

目前,该漏洞的补丁暂未发布,建议等待官方发布补丁并做好临时防护措施。


临时措施(适用于SMA 100系列设备或NetExtender 10.x)

对于SMA 100系列

l  设置防火墙仅允许从已知/列入白名单的IP通过SSL-VPN连接到SMA设备。

l  直接在SMA上自行配置白名单访问权限。

参考链接:

https://www.sonicwall.com/support/knowledge-base/how-to-restrict-access-for-netextender-mobile-connect-users-based-on-policy-for-ip-address/170502499350337/


对于通过NETEXTENDER VPN客户端版本10.X具有SSL-VPN访问的防火墙

禁用NetExtender对防火墙的访问,或通过允许列表/白名单限制用户和管理员对其公共IP的访问。

参考链接:

https://www.sonicwall.com/support/knowledge-base/how-do-i-configure-the-ssl-vpn-feature-for-use-with-netextender-or-mobile-connect/170505401898786/

 

必须在所有SONICWALL SMA、防火墙和MYSONICWALL帐户上启用MFA。

参考链接:

https://www.sonicwall.com/support/knowledge-base/how-to-configure-two-factor-authentication-using-totp-for-https-management/190201153847934/

https://www.sonicwall.com/support/knowledge-base/how-do-i-configure-2fa-for-ssl-vpn-with-ldap-and-totp/190829123329169/

https://www.sonicwall.com/support/knowledge-base/how-can-i-configure-time-based-one-time-password-totp-in-sma-100-series/180818071301745/

 

 

0x03 参考链接

https://www.sonicwall.com/support/product-notification/urgent-security-notice-netextender-vpn-client-10-x-sma-100-series-vulnerability-updated-jan-23-2021/210122173415410/

https://www.bleepingcomputer.com/news/security/sonicwall-firewall-maker-hacked-using-zero-day-in-its-vpn-device/

https://www.zdnet.com/article/sonicwall-says-it-was-hacked-using-zero-days-in-its-own-products/#ftag=RSSbaffb68

 

 

0x04 时间线

2021-01-22  SonicWall发布安全公告

2021-01-23  SonicWall更新安全公告

2021-01-25  VSRC发布安全通告

 

0x05 附录

 

CVSS评分标准官网:http://www.first.org/cvss/

image.png