-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA256 各位 JPCERT-AT-2021-0006 JPCERT/CC 2021-02-04(新規) 2021-02-22(更新) <<< JPCERT/CC Alert 2021-02-04 >>> SonicWall製SMA100シリーズの脆弱性(CVE-2021-20016)に関する注意喚起 https://www.jpcert.or.jp/at/2021/at210006.html I. 概要 2021年2月3日(米国時間)、SonicWall社は同社製SMA100シリーズの脆弱性 (CVE-2021-20016)に関する情報を公開しました。脆弱性を悪用された場合、 結果として遠隔の第三者が認証情報を窃取するなどの可能性があります。詳細 については、SonicWall社が提供する情報を確認してください。 SonicWall Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001 なお、同社は2021年1月22日に、本脆弱性の悪用による被害を受けたことを公 表しています。すでに脆弱性を悪用したとみられる攻撃に関する情報が公開さ れており、悪用された場合、同製品を経由して組織内のネットワークへの侵入 などが行われ、更なる被害に繋がる可能性があります。 本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策 あるいは回避策適用などの対応を実施することを推奨します。 II. 対象 対象となる製品とバージョンは次のとおりです。 ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品 - SMA 200 - SMA 210 - SMA 400 - SMA 410 - SMA 500v なお、SonicWall社によると、バージョン 10系より前のファームウェアは、本 脆弱性の影響を受けないとのことです。 III. 対策 本脆弱性を修正した次のバージョンが公開されています。修正済みバージョン の適用をご検討ください。 - 10.2.0.5-d-29sv なお、SonicWall社によるとHyper-V、ESXi、Azure、AWS用のSMA 500vの修正済 みイメージは準備出来次第提供予定であり、AWSとAzure marketplaceへの提供 までに数週間程度かかることが予想されています。 また、すでに同製品が攻撃の被害を受け、認証情報が窃取されている可能性があ ることから、修正済みバージョンの適用とあわせて、次の対策を実施することが 推奨されています。 - Webインターフェースを通じてログインする全ユーザーのパスワードリセット - MFA(多要素認証)の有効化 ** 更新: 2021年2月22日追記 ******************************************* 2021年2月19日(現地時間)、SonicWall社は、SMA 100シリーズ製品向けのファー ムウェア9系および10系の下記バージョンを公開しました。 - ファームウェア 10系 10.2.0.6-32sv - ファームウェア 9系 9.0.0.10-28sv SonicWall社は、修正済みバージョン(10.2.0.5-d-29sv)に更新している場合 でも、同系のファームウェアを利用している場合は、速やかにバージョンアッ プを行うことを推奨しています。また新たなバージョンと本脆弱性との関係性 などの詳細は、公開されておらず不明です。 詳細は、SonicWall社の情報を参照してください。 SonicWall Additional SMA 100 Series 10.x and 9.x Firmware Updates Required [Updated Feb. 19, 2 P.M. CST] https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/ *********************************************************************** IV. 回避策 回避策として、先述のMFA(多要素認証)の有効化とパスワードリセットが挙げら れています。 また、修正済みバージョン適用までの間、同製品に内蔵するWeb Application Firewall(WAF) 機能を有効にすることで、脆弱性の影響を軽減可能であるとの情報が公開されて います。SonicWall社は、10系のバージョンで稼働する製品の登録された利用者 に対して、WAF機能のライセンスを無償で60日間提供するとのことです。 SonicWall How to Configure Web Application Firewall (WAF) on the SMA 100 Series? https://www.sonicwall.com/support/knowledge-base/210202202221923/ V. 侵害有無の調査 ** 更新: 2021年2月8日追記 ******************************************** 2021年1月31日(現地時間)、本脆弱性の発見者であるNCC Groupに所属する、Rich Warren 氏は侵害調査の参考となるIOC情報を公開しました。 1. 管理用インターフェースへのアクセスにおける認証回避 アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に /__api__/v1/logon、または/__api__/v1/logon//authenticateへのリクエスト が成功していない場合は、第三者により認証を回避され管理用インターフェースへ アクセスが行われた可能性があります。 2. ユーザー用インターフェースへのアクセスにおける認証回避 アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエスト を検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon//authenticate へのリクエストが成功していない場合は、第三者により認証を回避されユーザー用イン ターフェースへアクセスが行われた可能性があります。 Rich Warren@buffaloverflow https://twitter.com/buffaloverflow/status/1355874671347044354 https://twitter.com/buffaloverflow/status/1355876985726242819 Bleeping Computer SonicWall fixes actively exploited SMA 100 zero-day vulnerability https://www.bleepingcomputer.com/news/security/sonicwall-fixes-actively-exploited-sma-100-zero-day-vulnerability/ *********************************************************************** VI. 参考情報 SonicWall SonicWall Publishes Critical Patch for SMA 100 Series 10.X Zero-Day Vulnerability https://www.sonicwall.com/blog/2021/01/sonicwall-identifies-coordinated-attack-on-netextender-vpn-client-version-10-and-sma-100-series/ SonicWall Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST] https://www.sonicwall.com/support/product-notification/urgent-security-notice-probable-sma-100-series-vulnerability-updated-jan-25-2021/210122173415410/ SonicWall SonicWall SMA 100 Series Security Best Practice Guide https://www.sonicwall.com/techdocs/pdf/SMA-100-Series-Security-Best-Practices-Guide.pdf 今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで ご連絡ください。 ________ 改訂履歴 2021-02-04 初版 2021-02-08 「V. 侵害有無の調査」の追加 2021-02-22 「III. 対策」の更新 ====================================================================== 一般社団法人JPCERTコーディネーションセンター(JPCERT/CC) 早期警戒グループ Email:ew-info@jpcert.or.jp -----BEGIN PGP SIGNATURE----- iQIcBAEBCAAGBQJgMwdSAAoJEKntH+qu5CT/kVUP/00NB0ztEB44tYF9DoWZ88LM sTQ2fluiV4z9B/nIWfq6HkFqFw/pVEA326pfbK/2RBbabFsIeNKLdvBWVOWzIgnW xttlTYZAIPAdGYjLyHP/lEGKHCSJWbER8gEs4thUR93jSIUyTGG1cRRx8aQ2eeiP bPPj8UUry/YKeYhhjfBS9MoWavIYPI+wq2mHlFp8xDjBB2tuBp+ykJD4l4PdrurU YapHEegs/uE9uhY5CXDYdcvffamootVSqCw2uVNJ5OkPsdHBxUGLj3Y6C8f9w//Y 6r+76S3uFgzbEY3l+lTHyGQV9UtiaNjDyswbjC8cb0+EhSvc8p2lEFHfB39uZWP+ cHlPBYNRK87bh1QLcK+eu2KHxImGXAgl1DmDndbrco/IY2aJi8BO6LcIhg1worSa lm2zg+C1ZWpEfds12POapOhUUM6/kJkzG+10prw7+ka4xvn9NIisagq9BOfYGsUU Iygux1fPTQZg4/D5978ToPfwSwVbOYMXdHBzztbhXZZtIuFl7Gq4kaPtZqYH3xPP XLyiLfXfB5nIqVYOWZXxzIHKYfRBxF4h1+DKgNIE0dvChIVVMifo3ecIP0TQ6eNu 6gmqaO4Yb6+Zo/TgHbWcxTENXhzApEiskkEWNQhp5Y1rv7ZBx52BlJ/XQWWiz6Uh tlm6VZQJG+9w+PcQHONu =KySk -----END PGP SIGNATURE-----