CVE-2021-20016:实战安全移动存取中零日漏洞

SonicWall发布补丁后,研究人员确认利用SonicWall安全移动存取零日漏洞

后台

1月22日声波Wall发布产品通知内系统协调攻击由高精度威胁行为方执行 。 SonicWall相信攻击者利用SonicWall产品远程访问中的“可能的零日漏洞”。继续调查后,他们提供了更多最新消息说明攻击的根本原因,主要是消除原先被认为受到影响的某些产品。

1月31日NCC集团研究者微博SonicWall正在调查的 可能漏洞候选程序, 并观察到野外缺陷的“不可分性”利用

百分数@SonicWall咨询-https://t.co/teeOvpwFMD并发细节给SonicWall-我们也看到野外随机使用-检验日志

NCC集团研究技术 2021年1月31日

声波电波响应NCC集团确认结果显示产品零日并按安全咨询跟踪SNWLID-2021-0001.

可确认SMA100级远程存取器识别为零日估计二月前会补补丁 免修补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补补二叉全部细节在这里 :https://t.co/fXyUkzn5Lb

SonicWall (@SonioWall) 2021年2月2日

分析

CVE2021-20016SQL关键注入漏洞安全移动存取100远程存取产品线远程非认证攻击者可提交特制查询以利用漏洞成功开发会让攻击者获取登录证书(用户名、密码)和会话信息的能力,这些信息可用于登陆脆弱SMA应用程序

Rich WarrenNCC集团首席安全顾问发布Twitter线程并带点指示器 显示他和他的团队观察 并进化开发Warren特别建议审查日志文件识别脆弱设备“异常请求”。

更多建议确保您获取 适当的集中记录即时

查找异常请求

/cgi-bin/management

也没有初步请求:

api_/v1/logon
/__api__/v1/logon/ /认证

表示验证旁路

富人Warren 2021年1月31日

Warren在审查日志文件时规定,向管理接口以及通过SSLVPN客户端和设备网门提出的请求前应先提交特定类型认证请求如果请求前没有这些认证请求,则表示漏洞得到利用,认证绕行尝试成功

基于迄今共享的有限信息,这种脆弱性似乎很容易利用,这解释了为什么这种有限信息被公诸于众。

易开发近似F5和Citrix漏洞

欧立怀特豪斯NCC集团技术主管微博团队并不想让它“太容易化化 ”, 前文F5和Citrix白室引用CVE-2020-5902远程代码执行漏洞交通管理用户界面F5BIG-IP并CVE-2019-1981中目录遍历易损Citrix应用提供控制器、网关和SD-WANOP产品.这两种漏洞在披露后不久即大规模开发,概念验证利用脚本很容易获取

CVE-2020-5902和CVE-2019-197822020威胁反溯报告.SSL VPNs和其他远程访问工具中的fraps对网络犯罪极有价值,因为它们为组织网络提供理想初始访问矢量广度开发SonicWall漏洞尚未被发现, 更多细节提供后, 我们完全期望网络罪犯利用漏洞,

概念证明

博客发布时CVE-2021-20016没有公开验证概念

求解

2月3日SonicWall释放固件版 10.2.0.5-29sv解决SMA百行产品中的这一漏洞

SMA下列版本受CVE-2021-20016影响

受创设备	应用类型
SMA200	物理学
SMA210	物理学
SMA400	物理学
SMA410	物理学
SMA500v	虚拟化(Azure、AWS、ESSI、HyperV)

强烈鼓励客户部署任何受影响的SMA设备尽快升级除升级外,SonicWall推荐客户重置密码,供那些通过网络接口登录设备并授权多因子认证作为附加保障的用户使用

向最新固件升级目前不可行,客户可临时应用缓冲方法,使SMA内置Web应用防火墙能安装设备SonicWall强调,虽然这种减量成功挫败CVE-2021-20016尝试,但它不是更新最新补丁固件版的替代

识别受影响的系统

可租插件列表识别此脆弱度来.

获取更多信息

• 声波产品安全手机访问漏洞通知
• SNWLID-2021-0001声波安全咨询

加入腾布尔安全响应队房东社区

深入了解开云app充值 网络接触平台对现代攻击面进行整体管理

获取a免费30天审判Tenable.io漏洞管理