日前SonicWall公告因为自家VPN设备出现弱点而被攻击,当时该公司仅研判,可能与SMA 100系列SSL VPN设备存在的未知漏洞有关。而在1月31日,安全公司NCC Group发布推文指出,这系列设备未被公开的潜在弱点,黑客已经拿来发动其他攻击,经通报后此弱点也得到SonicWall的证实。不过,为了防范调查阶段黑客就开始大肆滥用漏洞,NCC Group并未透露更多细节,仅建议网管人员要加强该设备的访问监控,来尽早发现是否遭到攻击。
Per the@SonicWalladvisory -https://t.co/teeOvpwFMD- we’ve identified and demonstrated exploitability of a possible candidate for the vulnerability described and sent details to SonicWall – we’ve also seen indication of indiscriminate use of an exploit in the wild – check logs
—NCC Group Research & Technology (@NCCGroupInfosec)January 31, 2021
对此,SonicWall于北美时间(CST)2月1日下午2时30分,更新公告内容,表示NCC Group向他们通报的重大未知漏洞,影响所有执行10.x版固件的SMA 100系列设备,而且无论是实体或是虚拟版本设备都受到波及,包含SMA 200、SMA 210、SMA 400、SMA 410,以及SMA 500v等型号的产品线。该公司也预计于2月2日之内,提供修补程序。
而对于现在能够缓解相关攻击的做法,SonicWall提出了进一步的说明,除了先前提及的激活双重验证与重设密码,他们也建议通过防火墙封锁SMA 100系列设备,或者是关机等方式暂停使用,等到安装修补程序再恢复运行。再者,该公司也提出可借由回恢复厂设置的方式,改执行旧的9.x版固件来缓解存在于新版固件的重大漏洞,而SonicWall提醒,在执行固件降版之前,用户应先备份相关的组态设置再进行相关作业。