網絡安全設備與服務提供商 SonicWall 周一披露,該公司某款在售的防火墻產品中存在一個正在被黑客利用的零日漏洞。SonicWall 在通報中稱,漏洞影響該公司的 Secure Mobile Access 100 系列產品線。如果你的 SMA 100 固件版本號為 10.x,那在周二結束之前,SonicWall 或許都無法及時推出補丁修復。
(來自:SonicWall)
SonicWall 通報發佈前一天,安全公司 NCC Group 率先在 Twitter 上披露其已檢測到被黑客濫用的野外攻擊。不過在突破受害者內部系統的時候,攻擊者還需協同其它技術手段。
NCC Group 發言人在一封電子郵件中寫道:“我司團隊發現瞭利用 SonicWall SMA 100 系列產品的零日漏洞展開攻擊的跡象,目前雙方正在密切的合作,以展開更深入的調查”。
SonicWall 代表在周一更新中表示,該公司的工程團隊已經證實瞭在 SMA 100 系列產品的 10.x 固件代碼中存在的一個零日漏洞,追溯編號為 SNWLID-2021-0001 。
ArsTechnica 指出,本次披露意味著 SonicWall 成為瞭最近幾周內被資深黑客盯上的第五傢大企業 —— 此前已有 SolarWinds、微軟、FireEye、Malwarebytes、以及 CrowdStrike(攻擊者未得逞)。
至於新發現的攻擊與此前針對 SolarWinds 的幕後組織是否有同樣的聯系,SonicWall 和 NCC Group 尚未給出明確的結論。
為防止該漏洞被進一步利用,NCC Group 給出瞭如下臨時緩解方案:
(1)非必要情況下請禁用 SMA 100 設備,直到官方發佈可用的修復補丁。否則請開始 MFA,並為是否 SMA 100 系列設備 / 10.X 固件的賬戶重置登錄憑證。
(2)若 SMA 100 系列設備居於企業防火墻之後,請阻止 SMA 100 的所有訪問。
(3)可嘗試將 SMA 100 系列產品恢復出廠設施,操作前請記得保存配置文件。在臨時避開存在零日漏洞的 10.x 固件之後,還請及時打上新的修復補丁。
最後,目前使用 SonicWall 防火墻的 SMA 1000 系列暫不受影響,包括虛擬專用網客戶端在內的應用都可安全使用。
