-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

各位

                                                   JPCERT-AT-2021-0006
                                                             JPCERT/CC
                                                     2021-02-04（新規）
                                                     2021-02-22（更新）

                  <<< JPCERT/CC Alert 2021-02-04 >>>

 SonicWall製SMA100シリーズの脆弱性（CVE-2021-20016）に関する注意喚起

            https://www.jpcert.or.jp/at/2021/at210006.html


I. 概要
2021年2月3日（米国時間）、SonicWall社は同社製SMA100シリーズの脆弱性
（CVE-2021-20016）に関する情報を公開しました。脆弱性を悪用された場合、
結果として遠隔の第三者が認証情報を窃取するなどの可能性があります。詳細
については、SonicWall社が提供する情報を確認してください。

    SonicWall
    Confirmed Zero-day vulnerability in the SonicWall SMA100 build version 10.x
    https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001

なお、同社は2021年1月22日に、本脆弱性の悪用による被害を受けたことを公
表しています。すでに脆弱性を悪用したとみられる攻撃に関する情報が公開さ
れており、悪用された場合、同製品を経由して組織内のネットワークへの侵入
などが行われ、更なる被害に繋がる可能性があります。

本脆弱性の影響を受ける製品をご利用の場合、速やかに利用状況の確認や対策
あるいは回避策適用などの対応を実施することを推奨します。


II. 対象
対象となる製品とバージョンは次のとおりです。

ファームウェア 10系のバージョンで稼働する次のSMA 100シリーズ製品
  - SMA 200
  - SMA 210
  - SMA 400
  - SMA 410
  - SMA 500v

なお、SonicWall社によると、バージョン 10系より前のファームウェアは、本
脆弱性の影響を受けないとのことです。


III. 対策
本脆弱性を修正した次のバージョンが公開されています。修正済みバージョン
の適用をご検討ください。

  - 10.2.0.5-d-29sv

なお、SonicWall社によるとHyper-V、ESXi、Azure、AWS用のSMA 500vの修正済
みイメージは準備出来次第提供予定であり、AWSとAzure marketplaceへの提供
までに数週間程度かかることが予想されています。

また、すでに同製品が攻撃の被害を受け、認証情報が窃取されている可能性があ
ることから、修正済みバージョンの適用とあわせて、次の対策を実施することが
推奨されています。

  - Webインターフェースを通じてログインする全ユーザーのパスワードリセット
  - MFA（多要素認証）の有効化

** 更新: 2021年2月22日追記 *******************************************
2021年2月19日（現地時間）、SonicWall社は、SMA 100シリーズ製品向けのファー
ムウェア9系および10系の下記バージョンを公開しました。

  - ファームウェア 10系 10.2.0.6-32sv
  - ファームウェア 9系 9.0.0.10-28sv

SonicWall社は、修正済みバージョン（10.2.0.5-d-29sv）に更新している場合
でも、同系のファームウェアを利用している場合は、速やかにバージョンアッ
プを行うことを推奨しています。また新たなバージョンと本脆弱性との関係性
などの詳細は、公開されておらず不明です。
詳細は、SonicWall社の情報を参照してください。

    SonicWall
    Additional SMA 100 Series 10.x and 9.x Firmware Updates Required [Updated Feb. 19, 2 P.M. CST]
    https://www.sonicwall.com/support/product-notification/additional-sma-100-series-10-x-and-9-x-firmware-updates-required-updated-feb-19-2-p-m-cst/210122173415410/
***********************************************************************


IV. 回避策
回避策として、先述のMFA（多要素認証）の有効化とパスワードリセットが挙げら
れています。

また、修正済みバージョン適用までの間、同製品に内蔵するWeb Application Firewall（WAF）
機能を有効にすることで、脆弱性の影響を軽減可能であるとの情報が公開されて
います。SonicWall社は、10系のバージョンで稼働する製品の登録された利用者
に対して、WAF機能のライセンスを無償で60日間提供するとのことです。

    SonicWall
    How to Configure Web Application Firewall (WAF) on the SMA 100 Series?
    https://www.sonicwall.com/support/knowledge-base/210202202221923/


V. 侵害有無の調査

** 更新: 2021年2月8日追記 ********************************************
2021年1月31日（現地時間）、本脆弱性の発見者であるNCC Groupに所属する、Rich Warren
氏は侵害調査の参考となるIOC情報を公開しました。

1. 管理用インターフェースへのアクセスにおける認証回避

アクセスログから/cgi-bin/managementへのリクエストを検索し、当該ログの前に
/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticateへのリクエスト
が成功していない場合は、第三者により認証を回避され管理用インターフェースへ
アクセスが行われた可能性があります。

2. ユーザー用インターフェースへのアクセスにおける認証回避

アクセスログから/cgi-bin/sslvpnclient、または/cgi-bin/portalへのリクエスト
を検索し、当該ログの前に/cgi-bin/userLoginや/__api__/v1/logon、または/__api__/v1/logon/<id>/authenticate
へのリクエストが成功していない場合は、第三者により認証を回避されユーザー用イン
ターフェースへアクセスが行われた可能性があります。

    Rich Warren@buffaloverflow
    https://twitter.com/buffaloverflow/status/1355874671347044354
    https://twitter.com/buffaloverflow/status/1355876985726242819

    Bleeping Computer
    SonicWall fixes actively exploited SMA 100 zero-day vulnerability
    https://www.bleepingcomputer.com/news/security/sonicwall-fixes-actively-exploited-sma-100-zero-day-vulnerability/
***********************************************************************

VI. 参考情報
    SonicWall
    SonicWall Publishes Critical Patch for SMA 100 Series 10.X Zero-Day Vulnerability
    https://www.sonicwall.com/blog/2021/01/sonicwall-identifies-coordinated-attack-on-netextender-vpn-client-version-10-and-sma-100-series/

    SonicWall
    Urgent Patch Available for SMA 100 Series 10.x Firmware Zero-Day Vulnerability [Updated Feb. 3, 2 P.M. CST]
    https://www.sonicwall.com/support/product-notification/urgent-security-notice-probable-sma-100-series-vulnerability-updated-jan-25-2021/210122173415410/

    SonicWall
    SonicWall SMA 100 Series Security Best Practice Guide
    https://www.sonicwall.com/techdocs/pdf/SMA-100-Series-Security-Best-Practices-Guide.pdf


今回の件につきまして提供いただける情報がございましたら、JPCERT/CCまで
ご連絡ください。

________
改訂履歴
2021-02-04 初版
2021-02-08 「V. 侵害有無の調査」の追加
2021-02-22 「III. 対策」の更新

======================================================================
一般社団法人JPCERTコーディネーションセンター（JPCERT/CC）
早期警戒グループ
Email：ew-info@jpcert.or.jp

-----BEGIN PGP SIGNATURE-----
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=KySk
-----END PGP SIGNATURE-----