JPCERT-AT-2021-0006
JPCERT/CC
2021-02-04(新規)
2021-02-22(更新)
SonicWall
Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
なお、同社は2021年1月22日に、本脆弱性の悪用による被害を受けたことを公表しています。すでに脆弱性を悪用したとみられる攻撃に関する情報が公開されており、悪用された場合、同製品を経由して組織内のネットワークへの侵入などが行われ、更なる被害に繋がる可能性があります。
本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策あるいは回避策適用などの対応を実施することを推奨します。
ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v
なお、SonicWall社によると、バージョン 10系より前のファームウェアは、本脆弱性の影響を受けないとのことです。
- 10.2.0.5-d-29sv
なお、SonicWall社によるとHyper-V、ESXi、Azure、AWS用のSMA 500vの修正済みイメージは準備出来次第提供予定であり、AWSとAzure marketplaceへの提供までに数週間程度かかることが予想されています。
また、すでに同製品が攻撃の被害を受け、認証情報が窃取されている可能性があることから、修正済みバージョンの適用とあわせて、次の対策を実施することが推奨されています。
- Webインターフェースを通じてログインする全ユーザーのパスワードリセット
- MFA(多要素認証)の有効化
また、修正済みバージョン適用までの間、同製品に内蔵するWeb Application Firewall(WAF)機能を有効にすることで、脆弱性の影響を軽減可能であるとの情報が公開されています。SonicWall社は、10系のバージョンで稼働する製品の登録された利用者に対して、WAF機能のライセンスを無償で60日間提供するとのことです。
SonicWall
How to Configure Web Application Firewall (WAF) on the SMA 100 Series?
https://www.sonicwall.com/support/knowledge-base/210202202221923/
SonicWall
SonicWall Publishes Critical Patch for SMA 100 Series 10.X Zero-Day Vulnerability
https://www.sonicwall.com/blog/2021/01/sonicwall-identifies-coordinated-attack-on-netextender-vpn-client-version-10-and-sma-100-series/
SonicWall
Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/urgent-security-notice-probable-sma-100-series-vulnerability-updated-jan-25-2021/210122173415410/
SonicWall
SonicWall SMA 100 Series Security Best Practice Guide
https://www.sonicwall.com/techdocs/pdf/SMA-100-Series-Security-Best-Practices-Guide.pdf
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
2021-02-08 「V. 侵害有無の調査」の追加
2021-02-22 「III. 対策」の更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp
JPCERT/CC
2021-02-04(新規)
2021-02-22(更新)
I. 概要
2021年2月3日(米国時間)、SonicWall社は同社製SMA100シリーズの脆弱性(CVE-2021-20016)に関する情報を公開しました。脆弱性を悪用された場合、結果として遠隔の第三者が認証情報を窃取するなどの可能性があります。詳細については、SonicWall社が提供する情報を確認してください。SonicWall
Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
なお、同社は2021年1月22日に、本脆弱性の悪用による被害を受けたことを公表しています。すでに脆弱性を悪用したとみられる攻撃に関する情報が公開されており、悪用された場合、同製品を経由して組織内のネットワークへの侵入などが行われ、更なる被害に繋がる可能性があります。
本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策あるいは回避策適用などの対応を実施することを推奨します。
II. 対象
対象となる製品とバージョンは次のとおりです。ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
- SMA 200
- SMA 210
- SMA 400
- SMA 410
- SMA 500v
なお、SonicWall社によると、バージョン 10系より前のファームウェアは、本脆弱性の影響を受けないとのことです。
III. 対策
本脆弱性を修正した次のバージョンが公開されています。修正済みバージョンの適用をご検討ください。- 10.2.0.5-d-29sv
なお、SonicWall社によるとHyper-V、ESXi、Azure、AWS用のSMA 500vの修正済みイメージは準備出来次第提供予定であり、AWSとAzure marketplaceへの提供までに数週間程度かかることが予想されています。
また、すでに同製品が攻撃の被害を受け、認証情報が窃取されている可能性があることから、修正済みバージョンの適用とあわせて、次の対策を実施することが推奨されています。
- Webインターフェースを通じてログインする全ユーザーのパスワードリセット
- MFA(多要素認証)の有効化
更新: 2021年2月22日追記
2021年2月19日(現地時間)、SonicWall社は、SMA 100シリーズ製品向けのファームウェア9系および10系の下記バージョンを公開しました。
- ファームウェア 10系 10.2.0.6-32sv
- ファームウェア 9系 9.0.0.10-28sv
SonicWall社は、修正済みバージョン(10.2.0.5-d-29sv)に更新している場合でも、同系のファームウェアを利用している場合は、速やかにバージョンアップを行うことを推奨しています。また新たなバージョンと本脆弱性との関係性などの詳細は、公開されておらず不明です。詳細は、SonicWall社の情報を参照してください。
SonicWall
Additional SMA 100 Series 10.x and 9.x Firmware Updates Required [Updated Feb. 19, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/
- ファームウェア 10系 10.2.0.6-32sv
- ファームウェア 9系 9.0.0.10-28sv
SonicWall社は、修正済みバージョン(10.2.0.5-d-29sv)に更新している場合でも、同系のファームウェアを利用している場合は、速やかにバージョンアップを行うことを推奨しています。また新たなバージョンと本脆弱性との関係性などの詳細は、公開されておらず不明です。詳細は、SonicWall社の情報を参照してください。
SonicWall
Additional SMA 100 Series 10.x and 9.x Firmware Updates Required [Updated Feb. 19, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/
IV. 回避策
回避策として、先述のMFA(多要素認証)の有効化とパスワードリセットが挙げられています。また、修正済みバージョン適用までの間、同製品に内蔵するWeb Application Firewall(WAF)機能を有効にすることで、脆弱性の影響を軽減可能であるとの情報が公開されています。SonicWall社は、10系のバージョンで稼働する製品の登録された利用者に対して、WAF機能のライセンスを無償で60日間提供するとのことです。
SonicWall
How to Configure Web Application Firewall (WAF) on the SMA 100 Series?
https://www.sonicwall.com/support/knowledge-base/210202202221923/
V. 侵害有無の調査
更新: 2021年2月8日追記
2021年1月31日(現地時間)、本脆弱性の発見者であるNCC Groupに所属する、Rich Warren氏は侵害調査の参考となるIOC情報を公開しました。
1. 管理用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避され管理用インターフェースへアクセスが行われた可能性があります。
2. ユーザー用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエストを検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェースへアクセスが行われた可能性があります。
Rich Warren@buffaloverflow
https://twitter.com/buffaloverflow/status/1355874671347044354
https://twitter.com/buffaloverflow/status/1355876985726242819
Bleeping Computer
SonicWall fixes actively exploited SMA 100 zero-day vulnerability
https://www.bleepingcomputer.com/news/security/sonicwall-fixes-actively-exploited-sma-100-zero-day-vulnerability/
1. 管理用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避され管理用インターフェースへアクセスが行われた可能性があります。
2. ユーザー用インターフェースへのアクセスにおける認証回避
アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエストを検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエストが成功していない場合は、第三者により認証を回避されユーザー用インターフェースへアクセスが行われた可能性があります。
Rich Warren@buffaloverflow
https://twitter.com/buffaloverflow/status/1355874671347044354
https://twitter.com/buffaloverflow/status/1355876985726242819
Bleeping Computer
SonicWall fixes actively exploited SMA 100 zero-day vulnerability
https://www.bleepingcomputer.com/news/security/sonicwall-fixes-actively-exploited-sma-100-zero-day-vulnerability/
VI. 参考情報
SonicWall
SonicWall Publishes Critical Patch for SMA 100 Series 10.X Zero-Day Vulnerability
https://www.sonicwall.com/blog/2021/01/sonicwall-identifies-coordinated-attack-on-netextender-vpn-client-version-10-and-sma-100-series/
SonicWall
Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
https://www.sonicwall.com/support/product-notification/urgent-security-notice-probable-sma-100-series-vulnerability-updated-jan-25-2021/210122173415410/
SonicWall
SonicWall SMA 100 Series Security Best Practice Guide
https://www.sonicwall.com/techdocs/pdf/SMA-100-Series-Security-Best-Practices-Guide.pdf
今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまでご連絡ください。
改訂履歴
2021-02-04 初版2021-02-08 「V. 侵害有無の調査」の追加
2021-02-22 「III. 対策」の更新
一般社団法人JPCERTコーディネーションセンター(JPCERT/CC)
早期警戒グループ
Email:ew-info@jpcert.or.jp